配置 SPARC Verified Boot 属性

语言：

在 Oracle 的某些 SPARC 系统中，在将系统引导块和 Oracle Solaris 内核模块装入到系统中之前，可使用 Verified Boot 对其进行验证。使用 Oracle ILOM 启用 Verified Boot 并指定当验证检查失败时系统应如何响应。启用 Verified Boot 可防止对系统引导块或 Oracle Solaris 内核模块进行的有害更改生效。有关在 Oracle ILOM 中设置此策略的更多详细信息，请参见表 72中的属性说明。

要使用 Verified Boot 功能，必须在系统上安装 Oracle Solaris 11.2 或更高版本。

在上载证书以验证 Oracle Solaris 内核模块之前，请确保满足以下要求：

可通过网络或本地文件系统访问证书。
证书为 PEM 格式，遵循 X.509 标准。
证书未使用密码短语加密。

表 72 Verified Boot 属性

用户界面可配置目标和用户角色： SP CLI：`/Host/verified_boot`（或者 `/Servers/PDomains/PDomain_n/Host/verified boot`） Web："Host Management" > "Verified Boot" 用户角色：Reset and Host Control (r) 角色
属性	默认值	说明
Boot Policy (`boot_policy` )	none	`none \|warning\|enforce` none－系统不对引导块、unix 或 geunix 运行验证检查。 warning－如果验证检查失败，则在主机控制台上记录警告消息，引导过程将继续。如果验证检查失败，则在主机控制台上记录错误消息，引导过程将中止。 Boot Policy 对应的 CLI 语法：单个主机服务器： `set /Host/verified_boot boot_policy=none\|warning\|enforce` 多域主机服务器： `set /Servers/PDomains/PDomain_n/HOST/verified_boot boot_policy=none\|warning\|enforce` 注 - 当 Verified Boot 的 "Boot Policy" 设置为 "Enforce" 且 "use-nvramrc?" 的非易失性 RAM 配置变量设置为 "True" 时，Solaris 引导操作在某些 SPARC 平台（例如 SPARC T7 和 M7 系列服务器）上可能会失败。有关更多详细信息，请参见 Oracle ILOM 功能更新和发行说明中的“3.2.5 已知问题”部分。
System Certificates (`/system_certs/1`)		查看 `system_certs/1` 目标以获得有关预安装的证书文件的详细信息，如颁发者和文件主题。
User Certificates (`/user_certs/n`)		装入最多五个定制证书文件以验证除 `unix` 和 `geunix` 以外的 Solaris 内核模块。查看 `user_certs/n` 目标以获得有关用户装入的证书文件的详细信息，如颁发者和文件主题。用于在引导时装入定制证书的 CLI 语法：单个主机服务器： `set /Host/verified_boot/user_certs/n load_uri=protocol://certificate_URI` 多域主机服务器： `set /Servers/PDomains/PDomain_n/Host/verified_boot/user_certs/n load_uri=protocol://certificate_URI` 其中，`n` 是要与证书文件关联的 ID，protocol 是 Oracle ILOM 支持的任意传输协议。有关支持的协议的列表，请参见Supported File Transfer Methods 用于删除 Verified Boot 定制证书的 CLI 语法：单个主机服务器： `reset /Host/Verified_boot/user_certs/n` 多域主机服务器： `reset /Servers/PDomains/PDomain_n/Host/verified_boot/user_certs/n` 其中，`n` 是要删除的证书文件的 ID。