تحديثات شهادة التمهيد الآمن Linux على الأجهزة الظاهرية Azure

تاريخ النشر الأصلي: 12 يونيو 2026

معرف KB: 5103014

ينطبق ذلك على:

Azure أجهزة التشغيل الظاهرية الموثوق بها والأجهزة الظاهرية السرية التي تعمل Linux مع تمكين التمهيد الآمن

للحصول على قائمة كاملة بنظام التشغيل المدعوم للتشغيل الموثوق به، يرجى الاطلاع على هذا الارتباط: التشغيل الموثوق به للأجهزة الظاهرية Azure - Azure الأجهزة الظاهرية | Microsoft Learn

للحصول على قائمة كاملة بنظام التشغيل المدعوم للأجهزة الظاهرية السرية، يرجى الاطلاع على هذا الرابط: حول Azure الأجهزة الظاهرية السرية | Microsoft Learn

المقدمة

Secure Boot هي ميزة أمان البرامج الثابتة UEFI التي تساعد على ضمان تشغيل البرامج الموثوق بها والموقعة رقميا فقط أثناء تسلسل تمهيد الجهاز الظاهري. تبدأ صلاحية شهادات Microsoft Secure Boot الصادرة في عام 2011 في يونيو 2026.

للحفاظ على حماية التمهيد الآمن والخدمة المستمرة لعملية التمهيد المبكر، يجب تحديث Azure Trusted Launch قيد التشغيل Linux بشهادات Secure Boot 2023 db وKEK في البرنامج الثابت UEFI الظاهري. يجب إعادة إنشاء الأجهزة الظاهرية السرية Linux على Azure مع الشهادات القديمة.

إذا استمر الجهاز الظاهري في الاعتماد على شهادات 2011 بعد انتهاء الصلاحية، فسيستمر في التمهيد. ومع ذلك، فإنه لن يتلقى حماية أمنية جديدة في شكل تحديثات shim والشهادات والإبطالات المستقبلية.

تحديد السيناريوهات التي تتطلب إجراء

راجع السيناريوهات التالية لتحديد ما إذا كان الإجراء مطلوبا:

Linux الأجهزة الظاهرية للتشغيل الموثوق به (TVM) أو الأجهزة الظاهرية السرية (CVM) التي تم إنشاؤها قبل أبريل 2024
Azure صور معرض الحوسبة التي تم التقاطها من أجهزة ظاهرية قديمة (قبل أبريل 2024) Linux Trusted Launch أو Confidential VMs
لقطات أو نسخ احتياطية من Linux Trusted Launch أو Confidential VMs التي تم إنشاؤها قبل أبريل 2024
تم إنشاء الأجهزة الظاهرية السرية قبل أبريل 2024 من الكائنات الثنائية كبيرة الحجم، تم استيرادها كقرص آمن.

تتضمن الأجهزة الظاهرية الموثوقة التي تم إنشاؤها بعد أبريل 2024 بالفعل شهادات التمهيد الآمن 2023 في البرنامج الثابت ل UEFI الظاهري.

ملاحظة: Linux يجب عدم تحديث الأجهزة الظاهرية السرية التي تم إنشاؤها قبل أبريل 2024 يدويا نظرا لأن تشفير القرص السري يعتمد على قيمة PCR7 ل vTPM التي يتم حسابها استنادا إلى متغيرات التمهيد الآمن. سيؤدي تحديث شهادات التمهيد الآمن دون التأكد من إعادة ختم مفتاح FDE إلى انتقال الجهاز الظاهري السري في وضع الاسترداد. يوصى بإعادة إنشاء مثل هذه الأجهزة الظاهرية السرية القديمة للحصول على الشهادات الجديدة.

اعتبارات الجهاز الظاهري الضيف Azure

تتضمن تحديثات التمهيد الآمن Linux على الأجهزة الظاهرية Azure مكونين:

شهادات التمهيد الآمن في البرامج الثابتة الظاهرية (المثبتة يدويا عبر الأدوات المقدمة من نظام التشغيل أو تلقائيا عبر تحديثات الأمان)
Linux تحديثات shim و bootloader (تتم إدارة بائع التوزيع)

يتم بدء عمليات التحديث من داخل نظام التشغيل الضيف وتعتمد على دعم النظام الأساسي لتطبيق التحديثات المصادق عليها على متغيرات التمهيد الآمن.

بعد تحديد السيناريوهات القابلة للتطبيق، قم بجرد بيئتك لتحديد الأجهزة الظاهرية التي تتطلب تحديثات.

الإجراءات المطلوبة

لجميع الأجهزة الظاهرية الضيف Azure:

تحقق مما إذا كانت شهادات Secure Boot 2023 موجودة في البرنامج الثابت الظاهري ل UEFI

بالنسبة إلى الأجهزة الظاهرية للتشغيل الموثوق به:

ابدأ التحديثات من داخل نظام تشغيل الجهاز الظاهري الضيف Linux عند الحاجة وفقا للإرشادات والأدوات الموصى بها لمورد التوزيع.
بالنسبة للأجهزة الظاهرية Linux، يجب تطبيق التحديثات بالترتيب الصحيح.

هام: قم دائما بتحديث البرنامج الثابت Secure Boot (متغيرات UEFI) قبل تحديث shim أو bootloader.
قد يؤدي تحديث shim قبل تحديث البرنامج الثابت أولا إلى فشل التمهيد.

بالنسبة للأجهزة الظاهرية السرية:

تحتوي معظم الأجهزة الظاهرية السرية على الشهادات الجديدة بالفعل. بالنسبة للأجهزة الظاهرية السرية بدون شهادات التمهيد الآمن 2023 الموجودة، اتبع الإرشادات الواردة أدناه في القسم ، التوصيات من قبل Azure للأجهزة الظاهرية السرية.

نشر التحديثات

يتم بدء تحديثات شهادة التمهيد الآمن Linux على الأجهزة الظاهرية Azure من داخل نظام التشغيل الضيف. تختلف هذه التحديثات حسب موردي التوزيعات، ويجب على العملاء التحقق من مورد التوزيعة الخاص بهم أولا على الطريقة الموصى بها.

توصيات من موردي نظام التشغيل Linux:

توصيات Azure للأجهزة الظاهرية السرية:

عدد CVMs التي تم إنشاؤها قبل أبريل 2024 منخفض جدا. إذا كان الجهاز الظاهري السري الخاص بك أحد الشهادات القليلة التي لا تحتوي على الشهادات الجديدة، فاتبع الخطوات لإعادة إنشاء CVM.

أساليب تحديث البرامج الثابتة

ملاحظة: قبل تجربة تحديثات متغير UEFI مباشرة على الأجهزة الظاهرية للإنتاج، يمكن للعملاء استخدام قالب البدء السريع Azure لمحاكاة Linux Trusted Launch VM مع شهادات UEFI CA الأقدم 2011.

استخدام fwupd

تأكد من تثبيت الإصدار 2.0.8 من الجهاز الظاهري أو إصدار أحدث.

لتحديث كل من KEK وdb، قم بتشغيل هذه الأوامر باستخدام fwupdmgr:

تحديث sudo fwupdmgr

استخدام efitools

قم بتنزيل حزم تحديث db وKEK Azure.

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

استخدام efi-updatevar لتثبيت حزم التحديث

sudo efi-updatevar -a -f DBUpdate3P2023.bin db

sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK

إعادة تشغيل sudo

استخدام sbsigntools

قم بتنزيل حزم تحديث db وKEK Azure.

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

استخدم الأداة المساعدة sbkeysync ل sbsigntools لتثبيت حزم التحديث:

sudo mkdir -p /etc/secureboot/keys/db

sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

sudo mkdir -p /etc/secureboot/keys/KEK

sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

sudo chattr -i /sys/firmware/efi/efivars/db-*

sudo chattr -i /sys/firmware/efi/efivars/KEK-*

sudo sbkeysync --مطول

sudo chattr +i /sys/firmware/efi/efivars/db-*

sudo chattr +i /sys/firmware/efi/efivars/KEK-*

إعادة تشغيل sudo

طرق التحقق

استخدام mokutil

mokutil --db | grep "UEFI CA 2023"
mokutil --kek | grep "KEK 2K CA 2023"

استخدام efitools

efi-readvar -v db | grep "UEFI CA 2023"
efi-readvar -v KEK | grep "KEK 2K CA 2023"

تحديث سلسلة التمهيد Linux

بعد تحديث البرنامج الثابت الناجح، من الآمن تطبيق تحديثات shim من موردي التوزيع Linux.

اعتبارات موارد Azure الأخرى

مورد Azure	تم الإنشاء قبل أبريل 2024	الإجراء المطلوب ل TVM	الإجراء المطلوب ل CVM
النسخ الاحتياطي/اللقطة	نعم	تمهيد الجهاز الظاهري، وتطبيق التحديثات، وإعادة الالتقاط	إعادة إنشاء CVM، إعادة الالتقاط
النسخ الاحتياطي/اللقطة	لا	لا يلزم اتخاذ أي إجراء	لا يلزم اتخاذ أي إجراء
صورة معرض الحوسبة	نعم	التوزيع والتحديث وإعادة الالتقاط	إعادة إنشاء CVM، إعادة الالتقاط
صورة معرض الحوسبة	لا	لا يلزم اتخاذ أي إجراء	لا يلزم اتخاذ أي إجراء

مراقبة حالة التحديث

تحقق من التحديثات من خلال نظام التشغيل الضيف:

التحقق من صحة التمهيد الناجح بعد التحديثات
تأكد من وجود شهادات التمهيد الآمن في البرامج الثابتة

قد تختلف نهج المراقبة والتحقق من الصحة حسب التوزيع Linux، ويجب عليك التحقق من مورد التوزيع الخاص بك.

خطوات التخفيف في حالة فشل التمهيد

في حالة حدوث سيناريو فشل مثل فشل التمهيد بعد تحديث متغير UEFI، يمكنك إعادة تعيين إعدادات UEFI باستخدام إحدى الطرق التالية:

استعادة النسخة الاحتياطية التي تم أخذها قبل بدء عملية التحديث اليدوي.
قم بتحويل Trusted Launch VM إلى Standard VM وأعد تطبيق نوع أمان Trusted Launch على الجهاز الظاهري. (مزيد من التفاصيل هنا: تمكين التشغيل الموثوق به على أجهزة Gen2 الظاهرية الموجودة - Azure الأجهزة الظاهرية | Microsoft Learn)
قم بتصدير نظام التشغيل vhd إلى حساب تخزين، وأنشئ صورةمعرض من vhd وانشر الجهاز الظاهري باستخدام إصدار صورة المعرض.

إخلاء المسؤولية عن معلومات الجهة الأخرى

تم تصنيع المنتجات الخارجية التي تتناولها هذه المقالة بواسطة شركات مستقلة عن Microsoft. لا نقدم أي ضمان، ضمني أو غير ذلك، حول أداء هذه المنتجات أو موثوقيتها.

نحن نوفر معلومات جهة اتصال تابعة لجهة خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. لا نضمن دقة معلومات جهة الاتصال هذه التابعة لجهة خارجية.