Актуализации на сертификата за защитено стартиране за Linux на виртуални машини на Azure

Първоначална дата на публикуване: 12 юни 2026 г.

ИД на БЗ: 5103014

Отнася се за:

Виртуални машини за надеждно стартиране на Azure и поверителни виртуални машини с Linux с разрешено защитено зареждане

За пълен списък на поддържаните ОС за надеждно стартиране вижте тази връзка: Надеждно стартиране за виртуални машини на Azure – виртуални машини на Azure | Microsoft Learn

За пълен списък на поддържаните ОС за поверителни виртуални машини вижте тази връзка: Относно поверителните виртуални машини на Azure | Microsoft Learn

В тази статия

Въведение
Идентифициране на сценарии, които изискват действие
Съображения за вторични виртуални машини на Azure
Стъпки за смекчаване в случай на неуспешно стартиране

Въведение

Защитеното стартиране е функция за защита на фърмуера на UEFI, която помага да се гарантира, че само надежден, цифрово подписан софтуер ще се изпълнява по време на последователността за стартиране на VM. Сертификатите за защитено стартиране на Microsoft, издадени през 2011 г., изтичат през юни 2026 г.

За да се поддържа защитата на защитеното стартиране и непрекъснатото обслужване на процеса на ранно стартиране, надеждното стартиране на Azure с Linux трябва да бъде актуализирано със сертификати за защитено стартиране 2023 db и KEK във виртуален фърмуер UEFI. Поверителните виртуални машини за Linux на Azure със стари сертификати трябва да бъдат създадени наново.

Ако дадена виртуална машина продължи да разчита на сертификати от 2011 след изтичане на срока, тя ще продължи да се зарежда. Той обаче вече няма да получава нови защити за сигурност под формата на актуализации на обвивката и бъдещи сертификати и анулирания.

Идентифициране на сценарии, които изискват действие

Прегледайте следните сценарии, за да определите дали е необходимо действие:

Linux Trusted Launch VMs (TVM) или поверителни VM (CVM), създадени преди април 2024 г.
Изображения на изчислителна галерия на Azure, заснети от по-стари (преди април 2024 г.) надеждни стартирания на Linux или поверителни виртуални машини
Снимки или архивни копия на надеждно стартиране на Linux или поверителни виртуални машини, създадени преди април 2024 г.
Поверителни виртуални машини, създадени преди април 2024 г. от големи двоични обекти, импортирани като защитен диск.

Надеждното стартиране и поверителните виртуални машини, създадени след април 2024 г., обикновено вече включват сертификати за защитено стартиране 2023 във виртуален фърмуер на UEFI.

Забележка: Поверителните виртуални машини с Linux, създадени преди април 2024 г., не трябва да се актуализират ръчно, тъй като поверителното криптиране на диска разчита на PCR7 стойност на vTPM, която се изчислява въз основа на променливите на защитеното стартиране. Актуализирането на сертификатите за защитено стартиране, без да се гарантира, че повторното запечатване на FDE ключа ще доведе до преминаване на поверителната VM в режим на възстановяване. Препоръчително е да създадете отново такива стари поверителни виртуални машини, за да получите новите сертификати.

Съображения за вторични виртуални машини на Azure

Актуализациите на защитено стартиране за Linux на виртуални машини на Azure включват два компонента:

Сертификати за защитено стартиране във виртуален фърмуер (инсталирани ръчно чрез инструменти, предоставени от операционната система, или автоматично чрез актуализации на защитата)
Актуализации на Linux shim и bootloader (управлявани от доставчика на дистрибуцията)

Операциите за актуализиране се инициират от операционната система гост и разчитат на поддръжката на платформи за прилагане на удостоверени актуализации към променливи на защитеното стартиране.

След като идентифицирате приложимите сценарии, направете опис на вашата среда, за да определите кои виртуални машини изискват актуализации.

Изискват се действия

За всички гости на виртуалните машини на Azure:

Проверка дали сертификатите за защитено стартиране 2023 са налични във виртуалния фърмуер на UEFI

За надеждни стартиращи виртуални машини:

Инициирайте актуализации от операционната система на гост на виртуалната машина на Linux, където е необходимо, според препоръчаните указания и инструменти на вашия доставчик на дистрибуция.
За Linux VM актуализациите трябва да се прилагат в правилния ред.

Важно: Винаги актуализирайте фърмуера за защитено стартиране (променливи на UEFI), преди да актуализирате обвивката или bootloader.
Актуализирането на обвивката преди първо актуализиране на фърмуера може да доведе до неуспешно стартиране.

За поверителни виртуални машини:

Повечето поверителни виртуални машини вече имат новите сертификати. За поверителни виртуални машини без налични сертификати за защитено стартиране 2023, следвайте указанията по-долу в раздела "Препоръки на Azure за поверителни виртуални машини".

Разполагане на актуализации

Актуализациите на сертификата за защитено стартиране за Linux на виртуални машини на Azure се инициират от операционната система гост. Тези актуализации се различават според доставчиците на дистрибутивите и клиентите трябва първо да се консултират с техния доставчик за препоръчания метод.

Препоръки от доставчиците на Linux OS:

Препоръки на Azure за поверителни виртуални машини:

Броят на МСП, създадени преди април 2024 г., е много нисък. Ако вашата поверителна VM е една от малкото, които нямат новите сертификати, следвайте стъпките, за да създадете отново CVM.

Методи за актуализиране на фърмуера

Забележка: Преди да изпробват променливите UEFI актуализации директно на производствени виртуални машини, клиентите могат да използват шаблона за бърз старт на Azure, за да симулират надеждно стартиране на Linux виртуална машина с по-стари 2011 UEFI CA сертификати.

Използване на fwupd

Уверете се, че VM има инсталирана fwupd версия 2.0.8 или по-нова.

За да актуализирате и KEK, и db, изпълнете тези команди с fwupdmgr:

sudo fwupdmgr refresh

Актуализация на Sudo FWUPDMGR

Използване на efitools

Изтегляне на пакети за актуализация на база данни и KEK за Azure.

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Използвайте efi-updatevar, за да инсталирате пакетите за актуализация

sudo efi-updatevar -a -f DBUpdate3P2023.bin db

sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK

sudo рестартиране

Използване на sbsigntools

Изтегляне на пакети за актуализация на база данни и KEK за Azure.

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

Използвайте помощната програма sbkeysync на sbsigntools, за да инсталирате пакетите за актуализация:

sudo mkdir -p /etc/secureboot/keys/db

sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

sudo mkdir -p /etc/secureboot/keys/KEK

sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

sudo chattr -i /sys/firmware/efi/efivars/db-*

sudo chattr -i /sys/firmware/efi/efivars/KEK-*

sudo sbkeysync --verbose

sudo chattr +i /sys/firmware/efi/efivars/db-*

sudo chattr +i /sys/firmware/efi/efivars/KEK-*

sudo рестартиране

Методи за проверка

Използване на mokutil

mokutil --db | grep "UEFI CA 2023"
mokutil --kek | grep "KEK 2K CA 2023"

Използване на efitools

efi-readvar -v db | grep "UEFI CA 2023"
efi-readvar -v KEK | grep "KEK 2K CA 2023"

Актуализация на веригата за зареждане на Linux

След успешната актуализация на фърмуера е безопасно да прилагате актуализации на обвивката от доставчиците на дистрибуция на Linux.

Други съображения за ресурсите на Azure

Ресурс на Azure	Създадено преди април 2024 г.	Необходимо е действие за TVM	Необходимо е действие за CVM
Архивиране/снимка	Да	Стартиране на VM, прилагане на актуализации, повторно заснемане	Създаване отново на CVM, повторно заснемане
Архивиране/снимка	Не	Не е необходимо действие	Не е необходимо действие
Изображение на галерията с изчисления	Да	Разполагане, актуализиране, повторно заснемане	Създаване отново на CVM, повторно заснемане
Изображение на галерията с изчисления	Не	Не е необходимо действие	Не е необходимо действие

Следене на състоянието на актуализациите

Проверка на актуализации чрез вторичната операционна система:

Проверка на успешното стартиране след актуализации
Потвърждение, че сертификатите за защитено стартиране са налични във фърмуера

Подходите за наблюдение и валидиране могат да варират в зависимост от дистрибуцията на Linux и трябва да се консултирате с доставчика на вашата дистрибуция.

Стъпки за смекчаване в случай на неуспешно стартиране

В случай на сценарий на отказ, като например неуспешно стартиране след актуализиране на променлива UEFI, можете да нулирате настройките на UEFI с помощта на един от методите по-долу:

Възстановете направеното архивно копие, преди да стартирате процеса на ръчно актуализиране.
Преобразувайте VM за надеждно стартиране в Standard VM и приложете отново типа защита "Надеждно стартиране" върху VM. (Повече подробности тук: Разрешаване на надеждно стартиране на съществуващи виртуални машини от Gen2 – виртуални машини на Azure | Microsoft Learn)
Експортирайте VHD на операционната система в акаунт за съхранение, създайте изображениена галерия от vhd и разположете VM, като използвате версията на изображението на галерията.

Отказ от отговорност за информация от трети лица

Продуктите на други разработчици, обсъждани в тази статия, са произведени от независими от Microsoft фирми. Не даваме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.

Предоставяме информация за връзка с трети лица, за да ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка на трети лица.