Tencent Cloud Tencentos Server V4完全支持安全的启动，适用于CFCA签名，

现在，当数字化浪潮席卷世界时，服务器操作系统的安全性是业务生命线的基础。每当系统启动时，它可能是恶意软件干扰的窗口。为了应对这一挑战，Tencentos安全团队继续加深操作系统安全功能的构建，并完全支持安全的启动操作。不仅成功地获得了Tencentos Server V4启动程序的Microsoft签名，而且还与领先的CFCA国内认证机构合作，提供了双轨启动保证，“开箱即用”安全启动保证，建立无效的安全线路。与CFCA合作，我们建立了一个由安全的启动生态系统制成的国内制成的，Tencentos与强大的国内电子认证机构与中国金融认证中心（CFCA）建立了合作。基于CFCA提供的CA根证书系统的国内制造E完成了调整Tencentos Server V4的国内安全的过程。 Tencentos团队与CFCA的安全启动签名平台进行了合作。经过严格的代码审核和签名签名，Tencentos Server V4 Shim组件已获得CFCA签名，并已在最新的SHIM软件包中进行了更新。中国金融认证中心（CFCA）是由中国人民银行和国家信息安全管理局批准的国家权威安全认证机构。这是电子认证服务和信息安全产品的国内令人信服的提供商。依靠高安全性加密技术，严格的代码审查和可靠的代码签名服务，它积极促进标准过程，并为国内安全的启动签名系统创建基础架构。此外，CFCA与一些国内服务器制造商合作要生成CFCA的安全启动键到服务器固件，以支持Linux操作系统启动的安全引导。据了解，Secure Boot是基于UEFI标准的主要安全技术。其目的是在加载前防止操作系统侵略恶意软件。它建立了一个连锁链，要求从固件到操作系统的每个启动组件都应通过受信任的数字签名证明。可以执行证明的物质，未经授权或篡改的代码将被拦截，从而抵抗了诸如来自源的Bootkit之类的潜在威胁。默认情况下，UEFI固件仅由中国Microsoft，OEM制造商等信任DB的公共密钥（签名数据库）。这会导致用户累积的内核，启动程序等。当启用安全启动时，用户（例如GRUB2）累积了直接加载的用户。为了解决这个问题，Linux社区介绍D增加了UEFI安全启动链的信心，并开发了特殊的SHIM启动程序。 Shim可以兑换用户或操作系统的公钥，并将其加载到MOK。该操作系统的该制造商可以使用相应的私钥签名随后的引导程序，内核等。MOK扩展机制允许用户或操作系统制造商Safeto运行自签名内核和启动程序。除了垫片外，其他组件不需要具有主板制造商的预装钥匙的签名。考虑到安全性和自定义，Linux的安全引导变得更加灵活。获取微软的签名以实现对通用目标服务器的广泛支持，以通过多种通用服务器硬件实现安全启动，Linux操作系统供应商的垫片部分将需要在UEFI固件上获得预设的密钥信心。前提是大多数商业的Microsoft固件的默认预设L服务器是Microsoft的公钥，除了直接与主板制造商合作以假装自己的公共钥匙，允许您自己的Shim配料获得Microsoft的签名是促进安全开始的关键方法。基于此，Tencentos团队严格遵循行业标准流程：首先，它提交了Shim-Review的SHIM社区审计请求，并提供了必需的资源文件和说明，通过安全审查并获得了向Microsoft提交签名申请的许可；然后将SHIM组件提交给Microsoft UEFI标志服务，提供公司的说明和证明的文件，并通过审核并获得Microsoft发行的内置公钥的SHIM文件。此外，Tencentos团队严格保护了安全的靴子钥匙，仅签署了GRUB2的官方释放的成分和内核，这不是Lamang可以满足SHIM签名要求的要求，但也可以确保钥匙的安全性最大。通过这种方式，通过验证Shim，Grub2和内核Shim验证的UEFI，可以正常通过安全启动的信任链。多亏了上述工作，Tencentos Server V4意识到了“开箱即用”的安全引导支持，可以直接在主要服务器和虚拟化平台上操作，这些平台允许UEFI安全启动而无需进一步调整，大大提高了扩展效率和安全保护水平。从与CFCA合作到获得Microsoft的签名，对通用服务器获得广泛的支持以及开发国内安全的启动生态系统，Tencentos Server V4始终将用户数据的安全性放在首位。并行，开箱即用的安全启动解决方案的Thedual-Track为用户提供了灵活和可靠的选项，还显示了Tencentos的技术优势，并在操作系统安全性字段中寻找布局。