Suojatun käynnistyksen varmennepäivitykset Linuxille Azure-virtuaalikoneissa

Käytetään kohteeseen
Virtual Machine running Linux

Huomautus

  • Alkuperäinen julkaisupäivä: Kesäkuu 12, 2026
  • KB-tunnus: 5103014

Huomautus

Tämän artikkelin sisältö

Johdanto

Suojattu käynnistys on UEFI-laiteohjelmiston suojausominaisuus, jonka avulla varmistetaan, että vain luotettu, digitaalisesti allekirjoitettu ohjelmisto suoritetaan virtuaalikoneen käynnistysjakson aikana. Vuonna 2011 myönnetyt Microsoftin suojatun käynnistyksen varmenteet alkavat vanhentua kesäkuussa 2026.

Jotta suojatun käynnistyksen suojausta ja varhaisen käynnistysprosessin ylläpitoa voidaan jatkaa, Linux-laitetta käyttävä Azure Trusted Launch on päivitettävä Secure Boot 2023 DB- ja KEK -varmenteilla virtuaalisessa UEFI-laiteohjelmistossa. Azuren Linux:n luottamukselliset näennäiskoneet, joissa on vanhoja varmenteita, on luotava uudelleen.

Jos virtuaalikone käyttää vuoden 2011 varmenteita edelleen sen vanhenemisen jälkeen, se jatkaa käynnistymistä. Se ei kuitenkaan enää saa uusia tietoturvasuojauksia yhteensopivuuspäivitysten ja tulevien varmenteiden ja kumoamisten muodossa. Asiakkaiden, joilla on virtuaalikoneita, joilla ei ole päivitettyjä varmenteita, tulisi jatkaa yhteistyötä jakeluluettelon toimittajien kanssa varmenteiden päivittämiseksi myös vanhentumispäivän jälkeen.

Tunnista skenaariot, jotka edellyttävät toimia

Käy läpi seuraavat skenaariot ja selvitä, tarvitaanko toimia:

  • Linux:n luotetun käynnistyksen virtuaalikoneet (TVM) tai luottamukselliset virtuaalikoneet (CVM), jotka on luotu ennen huhtikuuta 2024
  • Azure Compute Gallery -kuvat, jotka on tallennettu vanhemmista (ennen huhtikuuta 2024) Linux Trusted Launch -käynnistyksistä tai luottamuksellisista virtuaalikoneista
  • Tilannevedokset tai varmuuskopiot Linuxin luotetusta käynnistyksestä tai luottamuksellisista virtuaalikoneista, jotka on luotu ennen huhtikuuta 2024
  • Luottamukselliset virtuaalikoneet, jotka on luotu ennen huhtikuuta 2024 blob-objekteista ja tuotu suojattuna levynä.

Huhtikuun 2024 jälkeen luodut luotetut käynnistystoiminnot ja luottamukselliset Näennäiskoneet sisältävät yleensä jo Secure Boot 2023 -varmenteet virtuaalisessa UEFI-laiteohjelmistossa.

Huomautus

Ennen huhtikuuta 2024 luotuja Linux:n luottamuksellisia virtuaalikoneita ei tule päivittää manuaalisesti, koska luottamuksellisen levyn salaus perustuu vTPM:n PCR7-arvoon, joka lasketaan suojatun käynnistyksen muuttujien perusteella. Suojatun käynnistyksen varmenteiden päivittäminen varmistamatta FDE-avaimen uudelleensinetöimistä aiheuttaa sen, että luottamuksellinen virtuaalikone siirtyy palautustilaan. On suositeltavaa luoda uudelleen tällaiset vanhat luottamukselliset virtuaalikoneet uusien varmenteiden saamiseksi.

Azure-vierasvirtuaalikoneeseen liittyviä näkökohtia

Linux:n Secure Boot -päivitykset Azure-virtuaalikoneissa sisältävät kaksi komponenttia:

  • Suojatun käynnistyksen varmenteet virtuaalisessa laiteohjelmistossa (asennetaan manuaalisesti käyttöjärjestelmän tarjoamien työkalujen kautta tai automaattisesti suojauspäivitysten kautta)
  • Linux-yhteensopivuus- ja käynnistyslataimen päivitykset (jakeluluettelon toimittajan hallinnoima)

Päivitystoiminnot aloitetaan vieraskäyttöjärjestelmästä, ja ne käyttävät ympäristön tukea todennettujen päivitysten ottamiseksi käyttöön suojatun käynnistyksen muuttujissa.

Kun olet tunnistanut soveltuvat skenaariot, inventoi ympäristösi ja määritä, mitkä virtuaalikoneet edellyttävät päivityksiä.

Tarvittavat toimenpiteet

Kaikki Azure-vierasvirtuaalikoneet:

  • Varmista, onko Secure Boot 2023 -varmenteita virtuaalisessa UEFI-laiteohjelmistossa

Tarkistusmenetelmät

Suorita nämä komennot päivityksen ja uudelleenkäynnistyksen jälkeen. Päivitetyssä virtuaalikoneessa kukin komento palauttaa vastaavan rivin. Jos komento ei palauta tulostetta, vastaavaa 2023-varmennetta ei ole eikä päivitystä ole otettu käyttöön – tarkista päivitysvaiheet uudelleen ennen käyttöönottoa.

Sekä DB- että KEK-tarkistusten on palautettava rivi. Onnistuneesti päivitetty kone näyttää 2023 DB-varmenteen ja 2023 KEK-varmenteen.

Mokutilin käyttäminen

Huomautus

  • mokutil --db | grep "UEFI CA 2023"
  • CN = Microsoft UEFI CA 2023
  • mokutil --kek | grep "KEK 2K CA 2023"
  • CN = Microsoft Corporation KEK 2K CA 2023

efitoolsin käyttö

Huomautus

  • efi-readvar -v db | grep "UEFI CA 2023"
  • Microsoft UEFI CA 2023
  • efi-readvar -v KEK | grep "KEK 2K CA 2023"
  • Microsoft Corporation KEK 2K CA 2023

Huomautus

  • Jos 'mokutil' ei ole asennettuna, asenna se jakelusi vakiosäilöistä tai käytä sen sijaan 'efi-readvar -v db` / `efi-readvar -v KEK'.
  • Älä suorita luottamuksellisten virtuaalikoneiden tapauksessa manuaalista päivitystä tämän tuloksen perusteella – luo virtuaalikone uudelleen Azuren luottamuksellisille virtuaalikoneille -suosituksissa kuvatulla tavalla.

Linuxin käynnistysketjun päivitys

Onnistuneen laiteohjelmistopäivityksen jälkeen on turvallista ottaa käyttöön Linux-jakelutoimittajien yhteensopivuuspäivitykset.

Muita huomioon otettavia seikkoja Azure-resursseista

Azure-resurssi Luotu ennen huhtikuuta 2024 TVM:ää varten tarvitaan toimintoa CVM:ää varten tarvitaan toimenpide
Varmuuskopiointi tai tilannevedos Kyllä Käynnistä virtuaalikone, ota päivitykset käyttöön, ota talteen uudelleen Luo CVM, ota kuva uudelleen
Varmuuskopiointi tai tilannevedos Ei Toimia ei tarvita Toimia ei tarvita
Compute Gallery -kuva Kyllä Käyttöönotto, päivittäminen, kaappaus uudelleen Luo CVM, ota kuva uudelleen
Compute Gallery -kuva Ei Toimia ei tarvita Toimia ei tarvita

Seuraa päivityksen tilaa

Tarkista päivitykset vieraskäyttöjärjestelmän kautta:

  • Vahvista onnistunut käynnistys päivitysten jälkeen
  • Varmista, että laiteohjelmistossa on suojatun käynnistyksen varmenteet

Valvonta- ja validointimenetelmät voivat vaihdella Linux-jakelun mukaan, ja sinun tulee tarkistaa asia jakelun toimittajalta.

Luotetun käynnistyksen virtuaalikoneet:

  • Kaikki päivitykset on otettava käyttöön oikeassa järjestyksessä.

    Tärkeää

    Päivitä Secure Boot -laiteohjelmisto (UEFI-muuttujat) aina ennen yhteensopivuuden tai käynnistyslataimen päivittämistä.

  • On suositeltavaa käynnistää virtuaalikone ensin uudelleen, jotta voit varmistaa, että siinä on käytössä uusin laiteohjelmisto, ja varmistaaksesi, että käynnistys on onnistunut.

  • Aloita päivitykset Linux-vierasvirtuaalikonekäyttöjärjestelmästä tarvittaessa jakeluluettelon toimittajan suosittelemien ohjeiden ja työkalujen mukaisesti.

  • Jos kohtaat KEK- tai DB-päivitysvirheitä etkä käynnistänyt ensin uudelleen, käynnistä virtuaalikone uudelleen varmistaaksesi, että siinä on käytössä uusin laiteohjelmisto, ja yritä päivittää KEK ja DB uudelleen.

  • Yhteensopivuuden päivittäminen ennen laiteohjelmiston päivittämistä voi aiheuttaa käynnistysvirheen.

Luottamukselliset virtuaalikoneet:

Ota päivitykset käyttöön

Secure Boot -varmenteen päivitykset Linux:lle Azure-virtuaalikoneissa aloitetaan vieraskäyttöjärjestelmästä käsin. Nämä päivitykset vaihtelevat jakelupakettien toimittajien mukaan, ja asiakkaiden tulee ensin tarkistaa jakelujakelun toimittajalta suositeltu menetelmä.

Huomautus

  • Tässä on lueteltu vain ne Linux-käyttöjärjestelmätoimittajat, jotka ovat julkaisseet Secure Boot -varmenteen päivitysohjeet. Luetteloa päivitetään, kun muut toimittajat julkaisevat ohjeensa.
  • Jos jakelusi toimittajaa ei ole luettelossa, se ei tarkoita, etteikö se vaikuttaisi virtuaalikoneeseen – se tarkoittaa, että toimittaja ei ole vielä julkaissut Secure Boot 2023 KEK- ja DB-päivitysohjeita. Pyydä siinä tapauksessa suositeltu menetelmä jälleenmyyjältä tai käytä alla kuvattuja manuaalisia vaihtoehtoisia laiteohjelmiston päivitystapoja .

Suosituksia suositelluilta Linux-käyttöjärjestelmätoimittajilta:

Azuren suositukset luottamuksellisille virtuaalikoneille:

  • Ennen huhtikuuta 2024 luotujen seurantamekanismien määrä on hyvin pieni. Jos luottamuksellinen virtuaalikoneesi on yksi harvoista, jolla ei ole uusia varmenteita, luo CVM uudelleen noudattamalla ohjeita.

Vaihtoehtoiset laiteohjelmiston päivitystavat

Huomautus

Ennen kuin asiakkaat kokeilevat UEFI-muuttujapäivityksiä suoraan tuotantonäennäiskoneissa, he voivat simuloida Linux Trusted Launch VM:n vanhemmilla 2011 UEFI CA -varmenteilla Azure-pikakäynnistysmallin avulla.

Tärkeää

Tässä osiossa esitetyt manuaaliset laiteohjelmiston päivitysmenetelmät ovat vaihtoehto jakelutoimittajan suosittelemalle menetelmälle ja toisensa poissulkeva sen kanssa. Käytä käyttöjärjestelmän toimittajan menetelmää aina, kun sellainen on ensin saatavilla (katso Linux-käyttöjärjestelmätoimittajien suositukset). Käytä alla olevia manuaalisia menetelmiä vain, kun toimittaja ei ole julkaissut ohjeita tai kun toimittaja nimenomaisesti kehottaa sinua tekemään niin. Älä käytä sekä toimittajan menetelmää että manuaalista menetelmää samaan virtuaalikoneeseen.  Sinun tarvitsee käyttää vain yhtä vaihtoehtoista päivitystapaa (fwupd, efitools tai sbsigntools) – kaikkia kolmea ei tarvitse suorittaa.  Jokainen Linux-distro pakkaa erilaisia työkaluja ja versioita ja eri arkistojen kautta, joten on tärkeää noudattaa Linux-käyttöjärjestelmäsi antamia ohjeita.

Huomautus

Työkalun saatavuus ja versiot vaihtelevat jakelun ja työkalulähteen mukaan.

Vaihtoehto 1: fwupd:n käyttäminen

Varmista, että virtuaalikoneeseen on asennettu fwupd-versio 2.0.8 tai uudempi.

Voit päivittää sekä KEK:n että DB:n suorittamalla seuraavat komennot komennolla fwupdmgr:

Huomautus

  • sudo fwupdmgr refresh
  • sudo fwupdmgr update

Vaihtoehto 2: efitoolsin käyttö

  • Lataa DB- ja KEK-päivityspaketit Azurelle.

    Huomautus

    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
  • Tarkista ladattujen binaaritiedostojen MD5 tai SHA1 – niiden pitäisi vastata täsmälleen seuraavia:

    Huomautus

    • sha1sum *.bin
    • 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
    • d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
    • md5sum *.bin
    • ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
    • 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
  • Asenna päivityspaketit efi-updatevar-komennolla

    Huomautus

    • sudo efi-updatevar -a -f DBUpdate3P2023.bin db
    • sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
    • sudo reboot

Vaihtoehto 3: sbsigntoolsin käyttäminen

  • Lataa ja tarkista DBUpdate3P2023.bin edellä KEKUpdate_Microsoft_PK1.bin kohdassa "Vaihtoehto 2: efitoolsin käyttäminen" kuvatulla tavalla.

  • Asenna päivityspaketit sbsigntoolsin sbkeysync-apuohjelman avulla:

    Huomautus

    • sudo mkdir -p /etc/secureboot/keys/db
    • sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
    • sudo mkdir -p /etc/secureboot/keys/KEK
    • sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
    • sudo chattr -i /sys/firmware/efi/efivars/db-*
    • sudo chattr -i /sys/firmware/efi/efivars/KEK-*
    • sudo sbkeysync --verbose
    • sudo chattr +i /sys/firmware/efi/efivars/db-*
    • sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    • sudo reboot

Käynnistysvirheiden lieventämisvaiheet

Jos UEFI-muuttujan päivityksen jälkeinen käynnistysvirhe ilmenee, voit palauttaa UEFI-asetukset jollakin seuraavista tavoista:

  1. Palauta ennen manuaalisen päivityksen aloittamista otetut varmuuskopiot.
  2. Muunna luotetun käynnistyksen VM Standard VM:ksi ja ota uudelleen käyttöön luotettu käynnistys -suojaustyyppi virtuaalikoneessa. (Lisätietoja täällä: Ota luotettu käynnistys käyttöön olemassa olevissa Gen2-virtuaalikoneissa – Azure Näennäiskoneet | Microsoft Learn)
  3. Vie käyttöjärjestelmän vhd tallennustilatiliin, luo valikoiman näköistiedosto vhd:stä ja ota virtuaalikone käyttöön käyttämällä valikoiman näköistiedostoversiota.

Muiden valmistajien tietoja koskeva vastuuvapauslauseke

Tässä artikkelissa käsiteltävät kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien, itsenäisten yritysten valmistamia. Emme anna mitään oletettuja tai muita takuita siitä, että nämä tuotteet toimivat tai että ne ovat luotettavia.

Tarjoamme yhteystiedot kolmannelle osapuolelle, jonka kautta saat teknistä tukea. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa kolmannen osapuolen yhteystietojen tarkkuutta.

Muutosloki

Muuta päivämäärää Muutoksen kuvaus
Heinäkuu 29, 2026 Tärkeät muutokset, jotka selkeyttävät tarvittavia toimia, ja vaihtoehtoisia laiteohjelmiston päivitystapoja.
Kesäkuu 18, 2026 Viitelinkit lisättiin osioon "Linux-käyttöjärjestelmien toimittajien suositukset".