Ενημερώσεις πιστοποιητικών ασφαλούς εκκίνησης για Linux σε Azure εικονικές μηχανές
Ισχύει για
Αρχική ημερομηνία δημοσίευσης: 12 Ιουνίου 2026
Αναγνωριστικό KB: 5103014
Ισχύει για:
Azure Εικονική μηχανή αξιόπιστης εκκίνησης και εμπιστευτική εικονική μηχανή που εκτελούν Linux με ενεργοποιημένη την ασφαλή εκκίνηση
Για την πλήρη λίστα των υποστηριζόμενων λειτουργικών συστημάτων για αξιόπιστη εκκίνηση, ανατρέξτε σε αυτήν τη σύνδεση: Αξιόπιστη εκκίνηση για εικονικές μηχανές Azure - Azure Εικονικές μηχανές | Microsoft Learn
Για την πλήρη λίστα των υποστηριζόμενων λειτουργικών συστημάτων για εμπιστευτικές εικονικές μηχανές, ανατρέξτε σε αυτήν τη σύνδεση: Πληροφορίες για Azure εμπιστευτικές εικονικές μηχανές | Microsoft Learn
Σε αυτό το άρθρο
Εισαγωγή
Η Ασφαλής εκκίνηση είναι μια δυνατότητα ασφαλείας υλικολογισμικού UEFI που διασφαλίζει ότι εκτελείται μόνο αξιόπιστο, ψηφιακά υπογεγραμμένο λογισμικό κατά τη διάρκεια της ακολουθίας εκκίνησης VM. Τα πιστοποιητικά ασφαλούς εκκίνησης της Microsoft που εκδόθηκαν το 2011 αρχίζουν να λήγουν τον Ιούνιο του 2026.
Για να διατηρηθεί η προστασία ασφαλούς εκκίνησης και να συνεχιστεί η συντήρηση της διαδικασίας πρώιμης εκκίνησης, Azure Linux που εκτελείται αξιόπιστη εκκίνηση πρέπει να ενημερωθεί με πιστοποιητικά Secure Boot 2023 db και KEK σε εικονικό υλικολογισμικό UEFI. Πρέπει να δημιουργηθούν εκ νέου εμπιστευτικές εικονικές μηχανές για Linux σε Azure με παλιά πιστοποιητικά.
Εάν μια εικονική μηχανή εξακολουθεί να βασίζεται στα πιστοποιητικά του 2011 μετά τη λήξη τους, θα συνεχίσει να εκκινείται. Ωστόσο, δεν θα λαμβάνει πλέον νέες προστασίες ασφαλείας με τη μορφή ενημερώσεων συμβατότητας και μελλοντικών πιστοποιητικών και ανακλήσεων.
Προσδιορισμός σεναρίων που απαιτούν την ανάληψη δράσης
Εξετάστε τα ακόλουθα σενάρια για να προσδιορίσετε εάν απαιτείται ενέργεια:
-
Linux Trusted Launch VM (TVM) ή Confidential VM (CVM) που δημιουργήθηκαν πριν από τον Απρίλιο του 2024
-
Azure εικόνων της Συλλογής υπολογιστικών συστημάτων που έχουν ληφθεί από παλαιότερες (πριν από τον Απρίλιο του 2024) Linux αξιόπιστη εκκίνηση ή εμπιστευτικές εικονικές μηχανές
-
Στιγμιότυπα ή αντίγραφα ασφαλείας Linux αξιόπιστης εκκίνησης ή εμπιστευτικών εικονικών μηχανών που δημιουργήθηκαν πριν από τον Απρίλιο του 2024
-
Εμπιστευτικές εικονικές μηχανές που δημιουργήθηκαν πριν από τον Απρίλιο του 2024 από blob και εισαγάγθηκαν ως ασφαλής δίσκος.
Η αξιόπιστη εκκίνηση και η εμπιστευτική Εικονικές μηχανές που δημιουργούνται μετά τον Απρίλιο του 2024 συνήθως περιλαμβάνουν ήδη πιστοποιητικά Secure Boot 2023 σε εικονικό υλικολογισμικό UEFI.
Σημείωση: Linux Οι εμπιστευτικές εικονικές μηχανές που δημιουργήθηκαν πριν από τον Απρίλιο του 2024 δεν θα πρέπει να ενημερώνονται με μη αυτόματο τρόπο, καθώς η Εμπιστευτική κρυπτογράφηση δίσκου βασίζεται στην τιμή PCR7 του vTPM, η οποία υπολογίζεται με βάση τις μεταβλητές ασφαλούς εκκίνησης. Η ενημέρωση των πιστοποιητικών ασφαλούς εκκίνησης χωρίς να διασφαλιστεί η επανασφράγιση του κλειδιού FDE θα προκαλέσει τη μετάβαση της εμπιστευτικής εικονικής μηχανής σε λειτουργία ανάκτησης. Συνιστάται να αναδημιουργήσετε τέτοιες παλιές εμπιστευτικές εικονικές μηχανές για να λάβετε τα νέα πιστοποιητικά.
Azure ζητήματα για τις φιλοξενούμενες εικονικές μηχανές
Οι ενημερώσεις ασφαλούς εκκίνησης για Linux σε Azure εικονικές μηχανές περιλαμβάνουν δύο στοιχεία:
-
Πιστοποιητικά ασφαλούς εκκίνησης σε εικονικό υλικολογισμικό (εγκαθίστανται χειροκίνητα μέσω εργαλείων που παρέχονται από το λειτουργικό σύστημα ή αυτόματα μέσω ενημερώσεων ασφαλείας)
-
Linux ενημερώσεις συμβατότητας και φορτωτή εκκίνησης (διαχείριση προμηθευτή διανομής)
Οι λειτουργίες ενημέρωσης ξεκινούν μέσα από το φιλοξενούμενο λειτουργικό σύστημα και βασίζονται στην υποστήριξη πλατφόρμας για την εφαρμογή ενημερώσεων με έλεγχο ταυτότητας σε μεταβλητές ασφαλούς εκκίνησης.
Αφού προσδιορίσετε τα κατάλληλα σενάρια, απογράψτε το περιβάλλον σας για να προσδιορίσετε ποιες εικονικές μηχανές απαιτούν ενημερώσεις.
Απαιτούνται ενέργειες
Για όλες τις εικονικές μηχανές Azure επισκέπτη:
-
Επαληθεύστε εάν υπάρχουν πιστοποιητικά Secure Boot 2023 στο εικονικό υλικολογισμικό UEFI
Για αξιόπιστες εικονικές μηχανές εκκίνησης:
-
Ξεκινήστε ενημερώσεις μέσα από το λειτουργικό σύστημα Linux φιλοξενούμενου VM, όπου απαιτείται, σύμφωνα με τις προτεινόμενες οδηγίες και τα εργαλεία του προμηθευτή της διανομής σας.
-
Για Linux εικονικές μηχανές, οι ενημερώσεις πρέπει να εφαρμόζονται με τη σωστή σειρά.
Σημαντικό: Ενημερώνετε πάντα το υλικολογισμικό Ασφαλούς εκκίνησης (μεταβλητές UEFI) πριν ενημερώσετε το shim ή το bootloader.
-
Η ενημέρωση του shim πριν από την πρώτη ενημέρωση του υλικολογισμικού μπορεί να οδηγήσει σε αποτυχία εκκίνησης.
Για εμπιστευτικές εικονικές μηχανές:
-
Οι περισσότερες εμπιστευτικές εικονικές μηχανές διαθέτουν ήδη τα νέα πιστοποιητικά. Για εμπιστευτικές εικονικές μηχανές χωρίς πιστοποιητικά ασφαλούς εκκίνησης 2023, ακολουθήστε τις παρακάτω οδηγίες στην ενότητα, Συστάσεις από Azure για εμπιστευτικές εικονικές μηχανές.
Ανάπτυξη ενημερώσεων
Οι ενημερώσεις πιστοποιητικών ασφαλούς εκκίνησης για Linux σε Azure εικονικές μηχανές ξεκινούν μέσα από το φιλοξενούμενο λειτουργικό σύστημα. Αυτές οι ενημερώσεις διαφέρουν ανάλογα με τους προμηθευτές διανομής και οι πελάτες θα πρέπει πρώτα να επικοινωνήσουν με τον προμηθευτή διανομής τους σχετικά με τη συνιστώμενη μέθοδο.
Προτάσεις από προμηθευτές λειτουργικών συστημάτων Linux:
Συστάσεις από Azure για εμπιστευτικές VM:
-
Ο αριθμός των CVM που δημιουργήθηκαν πριν από τον Απρίλιο του 2024 είναι πολύ χαμηλός. Εάν η εμπιστευτική εικονική μηχανή είναι μία από τις λίγες που δεν διαθέτει τα νέα πιστοποιητικά, ακολουθήστε τα βήματα για να δημιουργήσετε ξανά το CVM.
Μέθοδοι ενημέρωσης υλικολογισμικού
Σημείωση: Προτού δοκιμάσουν τις μεταβλητές ενημερώσεις UEFI απευθείας στις εικονικές μηχανές παραγωγής, οι πελάτες μπορούν να χρησιμοποιήσουν το πρότυπο γρήγορης εκκίνησης του Azure για να προσομοιώσουν την εικονική μηχανή αξιόπιστης εκκίνησης του Linux με παλαιότερα πιστοποιητικά CA UEFI 2011.
Χρήση του fwupd
Βεβαιωθείτε ότι η εικονική μηχανή έχει εγκατεστημένη την έκδοση 2.0.8 ή νεότερη.
Για να ενημερώσετε τόσο το KEK όσο και το db, εκτελέστε αυτές τις εντολές με το fwupdmgr:
sudo fwupdmgr refresh
sudo fwupdmgr ενημέρωση
Χρήση efitools
Κατεβάστε τα πακέτα ενημέρωσης db και KEK για Azure.
-
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
-
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Χρησιμοποιήστε το efi-updatevar για να εγκαταστήσετε τα πακέτα ενημέρωσης
sudo efi-updatevar -a -f DBUpdate3P2023.bin db
sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
sudo επανεκκίνηση
Χρήση εργαλείων sbsigntools
Κατεβάστε τα πακέτα ενημέρωσης db και KEK για Azure.
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Χρησιμοποιήστε το βοηθητικό πρόγραμμα sbkeysync του sbsigntools για να εγκαταστήσετε τα πακέτα ενημέρωσης:
sudo mkdir -p /etc/secureboot/keys/db
sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
sudo mkdir -p /etc/secureboot/keys/KEK
sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
sudo chattr -i /sys/firmware/efi/efivars/db-*
sudo chattr -i /sys/firmware/efi/efivars/KEK-*
sudo sbkeysync --λεπτομερές
sudo chattr +i /sys/firmware/efi/efivars/db-*
sudo chattr +i /sys/firmware/efi/efivars/KEK-*
sudo επανεκκίνηση
Μέθοδοι επαλήθευσης
Χρήση mokutil
-
Mokutil --db | grep "UEFI CA 2023"
-
Mokutil --ΚΕΚ | grep "KEK 2K CA 2023"
Χρήση efitools
-
EFI-Readvar -V DB | grep "UEFI CA 2023"
-
έφη-readvar -v KEK | grep "KEK 2K CA 2023"
-
Linux ενημέρωση αλυσίδας εκκίνησης
Μετά την επιτυχημένη ενημέρωση υλικολογισμικού, είναι ασφαλής η εφαρμογή ενημερώσεων συμβατότητας από τους προμηθευτές διανομής Linux.
Άλλα ζητήματα Azure πόρων
|
Azure πόρος |
Δημιουργήθηκε πριν από τον Απρίλιο του 2024 |
Απαιτείται ενέργεια για το TVM |
Απαιτείται ενέργεια για το CVM |
|---|---|---|---|
|
Δημιουργία αντιγράφων ασφαλείας/στιγμιότυπο |
Ναι |
Εκκίνηση εικονικής μηχανής, εφαρμογή ενημερώσεων, ανάκτηση |
Αναδημιουργήστε το CVM, ανακτήστε |
|
Δημιουργία αντιγράφων ασφαλείας/στιγμιότυπο |
Όχι |
Δεν απαιτείται καμία ενέργεια |
Δεν απαιτείται καμία ενέργεια |
|
Εικόνα συλλογής υπολογιστικών στοιχείων |
Ναι |
Ανάπτυξη, ενημέρωση, ανάκτηση |
Αναδημιουργήστε το CVM, ανακτήστε |
|
Εικόνα συλλογής υπολογιστικών στοιχείων |
Όχι |
Δεν απαιτείται καμία ενέργεια |
Δεν απαιτείται καμία ενέργεια |
Παρακολούθηση κατάστασης ενημέρωσης
Επαληθεύστε τις ενημερώσεις μέσω του φιλοξενούμενου λειτουργικού συστήματος:
-
Επικύρωση επιτυχούς εκκίνησης μετά από ενημερώσεις
-
Επιβεβαιώστε ότι υπάρχουν πιστοποιητικά ασφαλούς εκκίνησης στο υλικολογισμικό
Οι προσεγγίσεις εποπτείας και επικύρωσης ενδέχεται να διαφέρουν ανάλογα με Linux διανομή και θα πρέπει να απευθυνθείτε στον προμηθευτή της διανομής σας.
Βήματα μετριασμού σε περίπτωση αποτυχιών εκκίνησης
Σε περίπτωση σφάλματος αποτυχίας, όπως αποτυχία εκκίνησης μετά από ενημέρωση μεταβλητών UEFI, μπορείτε να επαναφέρετε τις ρυθμίσεις UEFI χρησιμοποιώντας μία από τις παρακάτω μεθόδους:
-
Επαναφέρετε το αντίγραφο ασφαλείας που ελήφθη πριν ξεκινήσετε τη διαδικασία μη αυτόματης ενημέρωσης.
-
Μετατρέψτε την Trusted Launch VM σε Standard VM και εφαρμόστε ξανά τον τύπο ασφαλείας Trusted Launch στην εικονική μηχανή. (Περισσότερες λεπτομέρειες εδώ: Ενεργοποίηση αξιόπιστης εκκίνησης σε υπάρχουσες εικονικές μηχανές Gen2 - Azure Εικονικές μηχανές | Microsoft Learn)
-
Εξαγάγετε το λειτουργικό σύστημα vhd σε έναν λογαριασμό αποθήκευσης, δημιουργήστε μια εικόνασυλλογής από το vhd και αναπτύξτε την εικονική μηχανή χρησιμοποιώντας την έκδοση εικόνας συλλογής.
Αποποίηση ευθυνών για πληροφορίες τρίτων κατασκευαστών
Τα προϊόντα τρίτων κατασκευαστών που περιγράφονται σε αυτό το άρθρο κατασκευάζονται από εταιρείες ανεξάρτητες από τη Microsoft. Δεν παρέχουμε καμία εγγύηση, έμμεση ή άλλη, σχετικά με την απόδοση και την αξιοπιστία αυτών των προϊόντων.
Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτων.
Χρειάζεστε περισσότερη βοήθεια;
Θέλετε περισσότερες επιλογές;
Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.
Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.
