Sikker bootstartcertifikatopdateringer til Linux på Azure virtuelle maskiner
Gælder for
Oprindelig publiceringsdato: 12. juni 2026
KB-id: 5103014
Gælder for:
Azure virtuelle maskiner, der er tillid til, og Fortrolige virtuelle maskiner, der kører Linux med Sikker bootstart aktiveret
Du kan se en komplet liste over understøttede operativsystemer til start, der er tillid til, i dette link: Pålidelig start for Azure vm'er – Azure Virtual Machines | Microsoft Learn
Du kan se en komplet liste over understøttede operativsystemer til fortrolige virtuelle maskiner i dette link: Om Azure fortrolige virtuelle maskiner | Microsoft Learn
I denne artikel
Introduktion
Sikker bootstart er en sikkerhedsfunktion til UEFI-firmware, der er med til at sikre, at kun pålidelig digitalt signeret software kører under VM-startsekvensen. Microsoft Secure Boot-certifikater, der er udstedt i 2011, begynder at udløbe i juni 2026.
For at opretholde beskyttelse mod sikker bootstart og fortsat vedligeholdelse af den tidlige startproces skal Azure pålidelig start, der kører Linux, opdateres med Secure Boot 2023 db- og KEK-certifikater i virtuel UEFI-firmware. Fortrolige virtuelle maskiner til Linux på Azure med gamle certifikater skal genskabes.
Hvis en VM fortsat er afhængig af 2011-certifikaterne efter udløb, fortsætter den med at starte. Den vil dog ikke længere modtage ny sikkerhedsbeskyttelse i form af shim-opdateringer og fremtidige certifikater og tilbagekaldelser.
Identificer scenarier, der kræver handling
Gennemse følgende scenarier for at afgøre, om handling er påkrævet:
-
Linux tv-maskiner (Trusted Launch VM) eller fortrolige virtuelle maskiner (CVM), der er oprettet før april 2024
-
Azure Compute Gallery-billeder, der er hentet fra ældre (før april 2024) Linux, der er tillid til, eller Fortrolige virtuelle maskiner
-
Øjebliksbilleder eller sikkerhedskopier af Linux, der er tillid til, eller Fortrolige virtuelle maskiner, der er oprettet før april 2024
-
Fortrolige VM'er oprettet før april 2024 fra blobs importeret som sikker disk.
Start, der er tillid til, og Fortrolige Virtual Machines oprettet efter april 2024 indeholder typisk allerede certifikater til Sikker bootstart 2023 i virtuel UEFI-firmware.
Bemærk!: Linux Fortrolige virtuelle maskiner, der er oprettet før april 2024, bør ikke opdateres manuelt, da kryptering af fortrolig disk afhænger af pcR7-værdien af vTPM, som beregnes ud fra variablerne for sikker start. Opdatering af certifikater til sikker bootstart uden at sikre, at FDE-nøglen lukkes igen, medfører, at den fortrolige VM går i genoprettelsestilstand. Det anbefales at genskabe sådanne gamle fortrolige virtuelle maskiner for at få de nye certifikater.
Azure overvejelser i forbindelse med gæste-VM
Opdateringer til sikker bootstart til Linux på Azure vm'er involverer to komponenter:
-
Certifikater til sikker bootstart i virtuel firmware (installeres manuelt via operativsystemets angivne værktøj eller automatisk via sikkerhedsopdateringer)
-
Linux shim- og bootloader-opdateringer (distributionsleverandør administreret)
Opdateringshandlinger startes fra gæsteoperativsystemet og er afhængige af platformsunderstøttelse for at anvende godkendte opdateringer på variabler for sikker bootstart.
Når du har identificeret relevante scenarier, skal du opbevare dit miljø for at afgøre, hvilke virtuelle maskiner der kræver opdateringer.
Påkrævede handlinger
For alle Azure gæste-VM'er:
-
Kontrollér, om certifikater til sikker bootstart 2023 findes i virtuel UEFI-firmware
For virtuelle maskiner til start, der er tillid til:
-
Påbegynd opdateringer fra det Linux vm-operativsystem, hvor det er påkrævet i henhold til din distributionsleverandørs anbefalede vejledning og værktøjer.
-
For Linux vm'er skal opdateringerne anvendes i den rigtige rækkefølge.
Vigtigt!: Opdater altid firmwaren til sikker bootstart (UEFI-variabler), før du opdaterer shim eller bootloader.
-
Opdatering af shim'en, før firmwaren opdateres først, kan medføre en startfejl.
For fortrolige virtuelle maskiner:
-
De fleste fortrolige virtuelle maskiner har allerede de nye certifikater. For fortrolige vm'er uden secure boot 2023-certifikater, der findes, skal du følge vejledningen nedenfor i afsnittet Anbefalinger fra Azure for fortrolige virtuelle maskiner.
Installér opdateringer
Sikker bootstartcertifikatopdateringer til Linux på Azure vm'er startes fra gæsteoperativsystemet. Disse opdateringer varierer efter distributionsleverandører, og kunderne bør først kontakte deres distributionsleverandør på den anbefalede metode.
Anbefalinger fra Linux OS-leverandører:
Anbefalinger fra Azure for fortrolige virtuelle maskiner:
-
Antallet af cv'er, der blev oprettet før april 2024, er meget lavt. Hvis din Fortrolige VM er en af de få, der ikke har de nye certifikater, skal du følge trinnene for at genoprette CVM.
Metoder til firmwareopdatering
Bemærk!: Før kunderne prøver UEFI-variable opdateringer direkte på produktions-VM'er, kan de bruge skabelonen Azure hurtig start til at simulere Linux Trusted Launch VM med ældre 2011 UEFI CA-certifikater.
Brug af fwupd
Sørg for, at VM'en har fwupd version 2.0.8 eller nyere installeret.
Hvis du vil opdatere både KEK og db, skal du køre disse kommandoer med fwupdmgr:
sudo fwupdmgr-opdatering
sudo fwupdmgr-opdatering
Brug af efitooler
Download db- og KEK-opdateringspakker til Azure.
-
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
-
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Brug efi-updatevar til at installere opdateringspakkerne
sudo efi-updatevar -a -f DBUpdate3P2023.bin db
sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
sudo genstart
Brug af sbsigntools
Download db- og KEK-opdateringspakker til Azure.
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Brug sbkeysync-værktøjet sbsigntools til at installere opdateringspakkerne:
sudo mkdir -p /etc/secureboot/keys/db
sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
sudo mkdir -p /etc/secureboot/keys/KEK
sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
sudo chattr -i /sys/firmware/efi/efivars/db-*
sudo chattr -i /sys/firmware/efi/efivars/KEK-*
sudo sbkeysync --verbose
sudo chattr +i /sys/firmware/efi/efivars/db-*
sudo chattr +i /sys/firmware/efi/efivars/KEK-*
sudo genstart
Bekræftelsesmetoder
Brug af mokutil
-
mokutil --db | grep "UEFI CA 2023"
-
mokutil --kek | grep "KEK 2K CA 2023"
Brug af efitooler
-
efi-readvar -v db | grep "UEFI CA 2023"
-
efi-readvar -v KEK | grep "KEK 2K CA 2023"
-
Linux startkædeopdatering
Efter den vellykkede firmwareopdatering er det sikkert at anvende shim-opdateringer fra Linux distributionsleverandører.
Andre overvejelser vedrørende Azure ressourcer
|
Azure ressource |
Oprettet før april 2024 |
Handling påkrævet for TVM |
Handling påkrævet for CVM |
|---|---|---|---|
|
Sikkerhedskopiering/øjebliksbillede |
Ja |
Start VM, anvend opdateringer, indfangning |
Genopret CVM, indfangning |
|
Sikkerhedskopiering/øjebliksbillede |
Nej |
Der kræves ingen handling |
Der kræves ingen handling |
|
Billede af Compute Gallery |
Ja |
Installer, opdater, hent igen |
Genopret CVM, indfangning |
|
Billede af Compute Gallery |
Nej |
Der kræves ingen handling |
Der kræves ingen handling |
Overvåge opdateringsstatus
Bekræft opdateringer via guest OS:
-
Valider vellykket start efter opdateringer
-
Bekræft, at certifikater til sikker bootstart findes i firmware
Overvågnings- og valideringsmetoder kan variere efter Linux distribution, og du bør kontakte din distributionsleverandør.
Afhjælpningstrin i tilfælde af startfejl
I tilfælde af et fejlscenarie, f.eks. startfejl efter UEFI-variabelopdatering, kan du nulstille UEFI-indstillingerne ved hjælp af en af nedenstående metoder:
-
Gendan den sikkerhedskopi, der er taget, før du starter den manuelle opdateringsproces.
-
Konvertér pålidelig start VM til Standard VM, og anvend sikkerhedstypen Pålidelig start igen på VM'en. (Flere oplysninger her: Aktivér pålidelig start på eksisterende Gen2 VM'er - Azure Virtual Machines | Microsoft Learn)
-
Eksportér operativsystemets vhd til en lagerkonto, opret en galleriafbildningfra vhd'en, og installér VM'en ved hjælp af billedversionen af galleriet.
Ansvarsfraskrivelse for tredjepartsoplysninger
De tredjepartsprodukter, der er nævnt i denne artikel, er fremstillet af firmaer, der er uafhængige af Microsoft. Vi påtager os intet ansvar, hverken underforstået eller på anden måde, for funktionaliteten eller pålideligheden af disse produkter.
Vi leverer tredjepartskontaktoplysninger for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Microsoft kan ikke garantere nøjagtigheden af tredjeparts-kontaktoplysninger.
Har du brug for mere hjælp?
Vil du have flere indstillinger?
Udforsk abonnementsfordele, gennemse kurser, få mere at vide om, hvordan du sikrer din enhed og meget mere.
Communities hjælper dig med at stille og besvare spørgsmål, give feedback og høre fra eksperter med omfattende viden.
