- はじめに
- Cisco Catalyst 8000V の概要
- 設置の概要
- インストールコマンドを使用したソフトウェアのインストール
- パブリックおよびソブリン IaaS クラウドにおける Cisco Catalyst 8000V の互換性マトリックス
- VMware ESXi 環境でのインストール
- KVM 環境でのインストール
- NFVIS 環境でのインストール
- OpenStack 環境へのインストール
- デイゼロ設定
- Security-Enhanced Linux のサポート
- Cisco Catalyst 8000V ネットワーク インターフェイスの VM ネットワーク インターフェイスへのマッピング
- VNF セキュアブートの有効化
- コンソールアクセスの設定
- Cisco Catalyst 8000V ハードウェアと VM の要件の確認
- Cisco IOS XE ソフトウェアのアップグレード
- vCPU 分散の設定
- Web ユーザ インターフェイス管理
- GRUB モードへのアクセスと使用
- 工場出荷時の状態へのリセット
- VRF ルート共有の設定
- ブリッジ ドメイン インターフェイスの設定
- MTP ソフトウェアサポートの設定
- 無線対応ルーティング
VNF セキュアブートの有効化
セキュアブートは、Unified Extensible Firmware Interface(UEFI)標準の一部であり、OEM(Original Equipment Manufacturer)によって信頼されているソフトウェアのみを使用してデバイスを起動します。UEFI(Unified Extensible Firmware Interface)仕様は、受け入れ可能なデジタル署名を持たないソフトウェアのロードを防ぐセキュアブート方法を定義しています。デバイスが起動すると、ファームウェアはブートソフトウェアとオペレーティングシステムの署名をチェックします。署名が有効な場合、デバイスが起動し、ファームウェアがオペレーティングシステムに制御を渡します。
セキュアブート機能は、システムの起動プロセス中に悪意のあるソフトウェア アプリケーションと不正なオペレーティングシステムがシステムにロードされないようにします。セキュアブート機能を有効にすると、許可されたソフトウェア アプリケーションのみがデバイスから起動します。この機能により、デバイス上で起動するソフトウェアアプリケーションがシスコによって認定されていることを確認できます。セキュアなコンピューティングシステムによって、システム上の意図したソフトウェアがマルウェアや改ざんされたソフトウェアを使用せずに実行されるようにします。
システムブートモードとブートローダーのバージョンを表示するには、show platform software system boot コマンドを実行します。
Router#show platform software system boot
Boot mode: EFI
Bootloader version: 2.0
機能制限
-
次のセキュアブート環境がサポートされています。
-
ESXi バージョン 6.5 以上
-
オープンスタックライセンスを使用した KVM RHEL 7.5
-
NFVIS リリース 3.11 以降
-
-
EFI ファームウェアモードのみがセキュアブートをサポートします
-
GRUB2 および新しいディスク パーティション レイアウトが使用可能です
![]() (注) |
各ハイパーバイザには、ゲスト VM のセキュアブートを可能にする固有のプロセスがあります。セキュアブートを有効にするには、ハイパーバイザ固有のマニュアルを参照してください。 セキュアブートを有効にするためのハイパーバイザ固有の一連の手順を以下におおまかに示します。 |
ESXi セキュアブートの設定
-
VM バージョン 13 以上を使用する ESXi 6. 5 以降のバージョンを使用して VM を作成します。EFI ファームウェアモードを選択するには、[VM Options] > [Boot Options] > [Firmware] > [EFI] の順に移動します。
-
初回起動後、IOS プロンプトが完了したら、VM の電源をオフにします。
-
[Edit Settings] > [VM Options] > [Boot Options] > [Secure Boot] で EFI セキュアブートを有効にします。
-
VM の電源をオンにすると、VNF が安全に起動します。
![]() 重要 |
VM の作成後にファームウェアモードを(BIOS から EFI、またはその逆に)変更することはできません。 |
KVM セキュアブートの設定
-
VM を作成します。
-
VM が作成され、VNF IOS プロンプトが完了したら、VM の電源をオフにします。
-
[EFI Firmware] メニューから PK、KEK、および db 証明書をインストールし、リセットします。
カスタムキーを作成するには、セキュアブートのカスタムキーに関する説明を参照してください。db 証明書については、 MicCorUEFCA2011_2011-06-27.crt および MicWinProPCA2011_2011-10-19.crt を参照してください。
-
VM をセキュアブートします。
NFVIS セキュアブートの設定
-
NFVIS 3.11 リリース以降にアップグレードします。
-
Cisco Catalyst 8000V EFI tarball を NFVIS リポジトリに登録します。
-
登録された EFI イメージを使用して VM を作成します。
-
VM をセキュアブートします。