Забележка
- Първоначална дата на публикуване: 12 юни 2026 г.
- ИД на БЗ: 5103014
Забележка
- Отнася се за:
- Виртуални машини за надеждно стартиране на Azure и поверителни виртуални машини с Linux с разрешено защитено зареждане
- За пълен списък на поддържаните ОС за надеждно стартиране вижте тази връзка: Надеждно стартиране за виртуални машини на Azure – виртуални машини на Azure | Microsoft Learn
- За пълен списък на поддържаните ОС за поверителни виртуални машини вижте тази връзка: Относно поверителните виртуални машини на Azure | Microsoft Learn
В тази статия
Въведение
Защитеното стартиране е функция за защита на фърмуера на UEFI, която помага да се гарантира, че само надежден, цифрово подписан софтуер ще се изпълнява по време на последователността за стартиране на VM. Сертификатите за защитено стартиране на Microsoft, издадени през 2011 г., изтичат през юни 2026 г.
За да се поддържа защита на защитеното стартиране и непрекъснато обслужване на процеса на ранно стартиране, надеждното стартиране на Azure с Linux трябва да бъде актуализирано със сертификати за защитено стартиране 2023 DB и KEK във виртуален фърмуер UEFI. Поверителните виртуални машини за Linux на Azure със стари сертификати трябва да бъдат създадени наново.
Ако дадена виртуална машина продължи да разчита на сертификати от 2011 след изтичане на срока, тя ще продължи да се зарежда. Той обаче вече няма да получава нови защити за сигурност под формата на актуализации на обвивката и бъдещи сертификати и анулирания. Клиентите с виртуални машини, които нямат актуализирани сертификати, трябва да продължат да работят с доставчиците си на дистрибутори за актуализиране на техните сертификати дори след датата на изтичане на срока.
Идентифициране на сценарии, които изискват действие
Прегледайте следните сценарии, за да определите дали е необходимо действие:
- Linux Trusted Launch VMs (TVM) или поверителни VM (CVM), създадени преди април 2024 г.
- Изображения на изчислителна галерия на Azure, заснети от по-стари (преди април 2024 г.) надеждни стартирания на Linux или поверителни виртуални машини
- Снимки или архивни копия на надеждно стартиране на Linux или поверителни виртуални машини, създадени преди април 2024 г.
- Поверителни виртуални машини, създадени преди април 2024 г. от големи двоични обекти, импортирани като защитен диск.
Надеждното стартиране и поверителните виртуални машини, създадени след април 2024 г., обикновено вече включват сертификати за защитено стартиране 2023 във виртуален фърмуер на UEFI.
Забележка
Поверителните виртуални машини с Linux, създадени преди април 2024 г., не трябва да се актуализират ръчно, тъй като поверителното криптиране на диска разчита на PCR7 стойност на vTPM, която се изчислява въз основа на променливите на защитеното стартиране. Актуализирането на сертификатите за защитено стартиране, без да се гарантира, че повторното запечатване на FDE ключа ще доведе до преминаване на поверителната VM в режим на възстановяване. Препоръчително е да създадете отново такива стари поверителни виртуални машини, за да получите новите сертификати.
Съображения за вторични виртуални машини на Azure
Актуализациите на защитено стартиране за Linux на виртуални машини на Azure включват два компонента:
- Сертификати за защитено стартиране във виртуален фърмуер (инсталирани ръчно чрез инструменти, предоставени от операционната система, или автоматично чрез актуализации на защитата)
- Актуализации на Linux shim и bootloader (управлявани от доставчика на дистрибуцията)
Операциите за актуализиране се инициират от операционната система гост и разчитат на поддръжката на платформи за прилагане на удостоверени актуализации към променливи на защитеното стартиране.
След като идентифицирате приложимите сценарии, направете опис на вашата среда, за да определите кои виртуални машини изискват актуализации.
Изискват се действия
За всички гости на виртуалните машини на Azure:
- Проверка дали сертификатите за защитено стартиране 2023 са налични във виртуалния фърмуер на UEFI
Методи за проверка
Изпълнете тези команди след актуализирането и рестартирането. На успешно актуализирана VM всяка команда връща съответстващ ред. Ако дадена команда не върне резултат, съответният сертификат от 2023 г. не е наличен и актуализацията не е приложена – проверете отново стъпките за актуализиране, преди да я приложите.
И двете проверки на базата данни и KEK трябва да връщат ред. Успешно актуализирана машина показва сертификата на базата данни от 2023 г. и сертификата KEK за 2023 г.
Използване на mokutil
Забележка
- mokutil --db | grep "UEFI CA 2023"
- CN = Microsoft UEFI CA 2023
- mokutil --kek | grep "KEK 2K CA 2023"
- CN = Microsoft Corporation KEK 2K CA 2023
Използване на efitools
Забележка
- efi-readvar -v db | grep "UEFI CA 2023"
- Microsoft UEFI CA 2023
- efi-readvar -v KEK | grep "KEK 2K CA 2023"
- Microsoft Corporation KEK 2K CA 2023
Забележка
- Ако "mokutilне е инсталиран", инсталирайте го от стандартните хранилища на вашата дистрибуция или вместо това използвайте "efi-readvar -v db` / `efi-readvar -v KEK".
- За поверителни виртуални машини не изпълнявайте ръчна актуализация въз основа на този резултат – създайте отново виртуалната машина, както е описано в препоръките на Azure за поверителни виртуални машини.
Актуализация на веригата за зареждане на Linux
След успешната актуализация на фърмуера е безопасно да прилагате актуализации на обвивката от доставчиците на дистрибуция на Linux.
Други съображения за ресурсите на Azure
| Ресурс на Azure | Създадено преди април 2024 г. | Необходимо е действие за TVM | Необходимо е действие за CVM |
|---|---|---|---|
| Архивиране/снимка | Да | Стартиране на VM, прилагане на актуализации, повторно заснемане | Създаване отново на CVM, повторно заснемане |
| Архивиране/снимка | Не | Не е необходимо действие | Не е необходимо действие |
| Изображение на галерията с изчисления | Да | Разполагане, актуализиране, повторно заснемане | Създаване отново на CVM, повторно заснемане |
| Изображение на галерията с изчисления | Не | Не е необходимо действие | Не е необходимо действие |
Следене на състоянието на актуализациите
Проверка на актуализации чрез вторичната операционна система:
- Проверка на успешното стартиране след актуализации
- Потвърждение, че сертификатите за защитено стартиране са налични във фърмуера
Подходите за наблюдение и валидиране могат да варират в зависимост от дистрибуцията на Linux и трябва да се консултирате с доставчика на вашата дистрибуция.
За надеждни стартиращи виртуални машини:
Всички актуализации трябва да бъдат приложени в правилния ред.
Важно
Винаги актуализирайте фърмуера за защитено стартиране (променливи на UEFI), преди да актуализирате обвивката или bootloader.
Препоръчително е първо да рестартирате вашата виртуална машина, за да се уверите, че работи с най-новия фърмуер и да проверите успешното стартиране.
Инициирайте актуализации от операционната система на гост на виртуалната машина на Linux, където е необходимо, според препоръчаните указания и инструменти на вашия доставчик на дистрибуция.
Ако срещнете неуспешни актуализации на KEK или DB и не сте рестартирали първо, рестартирайте вашата виртуална машина, за да се уверите, че работи с най-новия фърмуер, и опитайте да актуализирате KEK и DB отново.
Актуализирането на обвивката преди първо актуализиране на фърмуера може да доведе до неуспешно стартиране.
За поверителни виртуални машини:
- Повечето поверителни виртуални машини вече имат новите сертификати. За поверителни виртуални машини без налични сертификати за защитено стартиране 2023, следвайте указанията по-долу в раздела "Препоръки на Azure за поверителни виртуални машини".
Разполагане на актуализации
Актуализациите на сертификата за защитено стартиране за Linux на виртуални машини на Azure се инициират от операционната система гост. Тези актуализации се различават според доставчиците на дистрибутивите и клиентите трябва първо да се консултират с техния доставчик за препоръчания метод.
Забележка
- Тук са изброени само доставчиците на ОС Linux, които са публикували указания за актуализиране на сертификата за защитено стартиране. Този списък се актуализира, когато допълнителни доставчици публикуват своите указания.
- Ако доставчикът на вашата дистрибуция не е в списъка, това не означава, че вашата VM не е засегната – това означава, че доставчикът все още не е публикувал указания за актуализиране на KEK и DB за защитено стартиране 2023 г. В такъв случай се свържете с вашия доставчик на дистрибуция за препоръчвания им метод или използвайте един от методите за ръчно актуализиране на алтернативен фърмуер , описани по-долу.
Препоръки от одобрени доставчици на Linux OS:
- Azure Linux (CBL-Mariner) – преминете към Azure Linux 3 или по-нова версия
- AlmaLinux – Защитено стартиране на UEFI: Wiki сайт за преход към сертификат на Microsoft 2023
- Debian - Защитено стартиране CA промени в wiki
- Red Hat (RHEL) – Как да използвате fwupd, за да запишете сертификата на Microsoft UEFI CA 2023 KB
- Ubuntu – ротация на Microsoft UEFI CA Дискурс на общността
Препоръки на Azure за поверителни виртуални машини:
- Броят на МСП, създадени преди април 2024 г., е много нисък. Ако вашата поверителна VM е една от малкото, които нямат новите сертификати, следвайте стъпките, за да създадете отново CVM.
Алтернативни методи за актуализиране на фърмуера
Забележка
Преди да изпробват променливите UEFI актуализации директно на производствени виртуални машини, клиентите могат да използват шаблона за бърз старт на Azure, за да симулират надеждно стартиране на Linux виртуална машина с по-стари 2011 UEFI CA сертификати.
Важно
Методите за ръчно актуализиране на фърмуера в този раздел са алтернатива на препоръчаната от вашия доставчик на дистрибуция методология и взаимно се изключват с нея. Използвайте метода на производителя на ОС, когато такъв е наличен първо (вижте Препоръки от доставчици на Linux OS). Използвайте ръчните методи по-долу само когато доставчикът ви не е публикувал указания или когато доставчикът изрично ви е насочил към тях. Не прилагайте едновременно метода на доставчика и ръчен метод за една и съща VM. Трябва да използвате само един алтернативен метод за актуализации (fwupd, efitools или sbsigntools) – не е необходимо да изпълнявате и трите. Всяка дистрибуция на Linux пакетира различни инструменти и версии и чрез различни хранилища, така че е важно да следвате указанията, предоставени от вашата Linux операционна система.
Забележка
Наличността и версиите на инструментите се различават в зависимост от разпространението и източника на инструмента.
Алтернатива 1: Използване на fwupd
Уверете се, че VM има инсталирана fwupd версия 2.0.8 или по-нова.
За да актуализирате и KEK, и DB, изпълнете тези команди с fwupdmgr:
Забележка
- sudo fwupdmgr refresh
- sudo fwupdmgr update
Алтернатива 2: Използване на efitools
Изтегляне на пакети за актуализация на DB и KEK за Azure.
Забележка
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Проверете MD5 или SHA1 на изтеглените двоични файлове – те трябва да съвпадат точно със следното:
Забележка
- sha1sum *.bin
- 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
- d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
- md5sum *.bin
- ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
- 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
Използвайте efi-updatevar, за да инсталирате пакетите за актуализация
Забележка
- sudo efi-updatevar -a -f DBUpdate3P2023.bin db
- sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
- sudo reboot
Алтернатива 3: Използване на sbsigntools
Изтеглете и проверете DBUpdate3P2023.bin и KEKUpdate_Microsoft_PK1.bin както е описано в "Алтернатива 2: Използване на efitools" по-горе.
Използвайте помощната програма sbkeysync на sbsigntools, за да инсталирате пакетите за актуализация:
Забележка
- sudo mkdir -p /etc/secureboot/keys/db
- sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
- sudo mkdir -p /etc/secureboot/keys/KEK
- sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
- sudo chattr -i /sys/firmware/efi/efivars/db-*
- sudo chattr -i /sys/firmware/efi/efivars/KEK-*
- sudo sbkeysync --verbose
- sudo chattr +i /sys/firmware/efi/efivars/db-*
- sudo chattr +i /sys/firmware/efi/efivars/KEK-*
- sudo reboot
Стъпки за смекчаване в случай на неуспешно стартиране
В случай на сценарий на отказ, като например неуспешно стартиране след актуализиране на променлива UEFI, можете да нулирате настройките на UEFI с помощта на един от методите по-долу:
- Възстановете направеното архивно копие, преди да стартирате процеса на ръчно актуализиране.
- Преобразувайте VM за надеждно стартиране в Standard VM и приложете отново типа защита "Надеждно стартиране" върху VM. (Повече подробности тук: Разрешаване на надеждно стартиране на съществуващи виртуални машини от Gen2 – виртуални машини на Azure | Microsoft Learn)
- Експортирайте VHD на операционната система в акаунт за съхранение, създайте изображение на галерия от vhd и разположете VM, като използвате версията на изображението на галерията .
Отказ от отговорност за информация от трети лица
Продуктите на други разработчици, обсъждани в тази статия, са произведени от независими от Microsoft фирми. Не даваме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.
Предоставяме информация за връзка с трети лица, за да ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка на трети лица.
Регистър на промените
| Промяна на датата | Описание на промяната |
|---|---|
| 29 юли 2026 г. | Основни редакции за добавяне на яснота към задължителните действия и алтернативни методи за актуализиране на фърмуера. |
| 18 юни 2026 г. | Референтни връзки бяха добавени към раздела "Препоръки от доставчици на Linux OS". |