Ažuriranja certifikata sigurnog pokretanja sustava za Linux na virtualnim računalima Azure

Primjenjuje se na
Virtual Machine running Linux

Napomena

  • Izvorni datum objave: Lipnja 12, 2026
  • ID baze znanja: 5103014

Napomena

Sadržaj članka

Uvod

Sigurno pokretanje jest sigurnosna značajka UEFI opreme koja osigurava da se tijekom slijeda pokretanja VM-a pokrene samo pouzdani, digitalno potpisani softver. Certifikati za Microsoftovo sigurno pokretanje izdani u 2011. počinju isteći u lipnju 2026.

Da bi se održala zaštita od sigurnog pokretanja i kontinuirano servisiranje procesa ranog pokretanja, Azure Trusted Launch sa sustavom Linux mora se ažurirati sigurnom pokretanjem 2023 DB i KEK certifikatima u virtualnom UEFI firmveru. Povjerljiva virtualna računala za Linux na platformi Azure sa starim certifikatima moraju se ponovno stvoriti.

Ako se virtualno računalo nakon isteka i dalje oslanja na certifikate verzije 2011, nastavit će se pokretati. Međutim, više neće primati nove sigurnosne zaštite u obliku SHIM ažuriranja te budućih certifikata i opoziva. Korisnici s VM-ovima koji nemaju ažurirane certifikate trebali bi nastaviti surađivati s dobavljačima distribucija kako bi ažurirali svoje certifikate čak i nakon datuma isteka.

Prepoznavanje scenarija u kojima je potrebna akcija

Pregledajte sljedeće scenarije da biste utvrdili je li potrebno nešto poduzeti:

  • Linux pouzdani VM-ovi za pokretanje (TVM) ili povjerljivi VM-ovi (CVM) stvoreni prije travnja 2024.
  • Slike iz Azure Compute Gallery snimljene sa starijih (prije travnja 2024.) pouzdanog pokretanja sustava Linux ili povjerljivih VM-ova
  • Snimke ili sigurnosne kopije pouzdanog pokretanja sustava Linux ili povjerljivih VM-ova stvorenih prije travnja 2024.
  • Povjerljivi VM-ovi stvoreni prije travnja 2024. iz blobova, uvezeni kao sigurni disk.

Pouzdano pokretanje i povjerljiva virtualna računala stvorena nakon travnja 2024. obično već sadrže certifikate sigurnog pokretanja sustava 2023 u virtualnoj UEFI opremi.

Napomena

Linux povjerljivi VM-ovi stvoreni prije travnja 2024. ne bi se trebali ručno ažurirati jer se povjerljivo šifriranje diska oslanja na PCR7 vrijednost vTPM-a koja se izračunava na temelju varijabli sigurnog pokretanja. Ažuriranje certifikata sigurnog pokretanja bez osiguravanja ponovnog pečaćenja FDE ključa dovest će do toga da povjerljivi VM prijeđe u način rada za oporavak. Preporučuje se ponovno stvoriti stare povjerljive VM-ove da biste dobili nove certifikate.

Razmatranja o virtualnom računalu gosta na platformi Azure

Ažuriranja sigurnog pokretanja za Linux na Azure VM-ovima uključuju dvije komponente:

  • Certifikati za sigurno pokretanje u virtualnoj programskoj opremi (instaliraju se ručno putem alata koje pruža OS ili automatski putem sigurnosnih ažuriranja)
  • Linux shim i bootloader ažuriranja (upravlja dobavljač distribucije)

Operacije ažuriranja pokreću se iz operacijskog sustava gosta i oslanjaju se na podršku platforme radi primjene provjerenih ažuriranja na varijable sigurnog pokretanja.

Nakon identificiranja primjenjivih scenarija napravite inventuru okruženja da biste utvrdili koji VM-ovi zahtijevaju ažuriranja.

Potrebne su radnje

Za sva virtualna računala gosta na platformi Azure:

  • Provjerite jesu li certifikati sigurnog pokretanja sustava 2023 prisutni u virtualnoj UEFI firmwareu

Načini provjere valjanosti

Pokrenite te naredbe nakon ažuriranja i ponovnog pokretanja. Na uspješno ažuriranom VM-u svaka naredba vraća odgovarajući redak. Ako naredba ne vrati nikakav rezultat, odgovarajući certifikat za 2023 nije prisutan, a ažuriranje nije primijenjeno – prije primjene ponovno provjerite korake ažuriranja.

DB i KEK provjere moraju vratiti redak. Uspješno ažurirano računalo prikazuje DB certifikat 2023 i KEK certifikat 2023.

Korištenje mokutila

Napomena

  • mokutil --db | grep "UEFI CA 2023"
  • CN = Microsoft UEFI CA 2023
  • mokutil --kek | grep "KEK 2K CA 2023"
  • CN = Microsoft Corporation KEK 2K CA 2023

Korištenje efitools

Napomena

  • efi-readvar -v db | grep "UEFI CA 2023"
  • Microsoft UEFI CA 2023
  • efi-readvar -v KEK | grep "KEK 2K CA 2023"
  • Microsoft Corporation KEK 2K CA 2023

Napomena

  • Ako 'mokutil' nije instaliran, instalirajte ga iz standardnih spremišta vaše distribucije ili koristite 'efi-readvar -v db` / `efi-readvar -v KEK' umjesto toga.
  • Za povjerljive VM-ove nemojte pokretati ručno ažuriranje na temelju ovih rezultata – ponovno stvorite VM na način opisan u preporukama servisa Azure za povjerljive VM-ove.

Ažuriranje lanca pokretanja Linuxa

Nakon uspješnog ažuriranja firmvera, sigurno je primijeniti shim ažuriranja od dobavljača Linux distribucije.

Druge napomene vezane uz resurse platforme Azure

Azure resource Stvoreno prije travnja 2024. Potrebna radnja za TVM Za CVM potrebna radnja
Sigurnosno kopiranje/snimka stanja Da Pokretanje VM-a, primjena ažuriranja, ponovno snimanje Ponovno stvaranje CVM-a, ponovno snimanje
Sigurnosno kopiranje/snimka stanja Ne Nije potrebno ništa poduzeti Nije potrebno ništa poduzeti
Slika galerije izračuna Da Implementacija, ažuriranje, ponovno snimanje Ponovno stvaranje CVM-a, ponovno snimanje
Slika galerije izračuna Ne Nije potrebno ništa poduzeti Nije potrebno ništa poduzeti

Pratite status ažuriranja

Provjerite ažuriranja putem OS-a gosta:

  • Provjera uspješnog pokretanja nakon ažuriranja
  • Provjerite jesu li u programskoj opremi prisutni certifikati za sigurno pokretanje

Pristupi praćenju i validaciji mogu se razlikovati ovisno o Linux distribuciji, pa biste trebali provjeriti sa svojim dobavljačem distribucije.

Za pouzdana virtualna računala:

  • Sva ažuriranja moraju se primijeniti ispravnim redoslijedom.

    Važno

    Uvijek ažurirajte opremu za sigurno pokretanje (UEFI varijable) prije ažuriranja SHIM-a ili bootloadera.

  • Preporučuje se da najprije ponovo pokrenete virtualno računalo da biste bili sigurni da je instalirana najnovija oprema i da biste provjerili je li računalo uspješno pokrenuto.

  • Pokrenite ažuriranja iz operacijskog sustava Linux gosta VM gdje je to potrebno u skladu s preporučenim smjernicama i alatima dobavljača distribucije.

  • Ako naiđete na pogreške ažuriranja KEK ili DB, a niste prethodno ponovno pokrenuli, ponovno pokrenite svoj VM da biste provjerili koristi li najnoviju opremu i pokušajte ponovno ažurirati KEK i DB.

  • Ažuriranje podloške prije prvog ažuriranja opreme može dovesti do pogreške pri pokretanju.

Za povjerljive VM-ove:

Implementacija ažuriranja

Ažuriranja certifikata sigurnog pokretanja sustava za Linux na VM-ovima na platformi Azure pokreću se iz operacijskog sustava gosta. Ta se ažuriranja razlikuju ovisno o dobavljačima distribucija, pa bi se kupci trebali najprije obratiti dobavljaču distribucije o preporučenoj metodi.

Napomena

  • Ovdje su navedeni samo proizvođači operacijskog sustava Linux koji su objavili upute za ažuriranje certifikata za sigurno pokretanje. Taj se popis ažurira kako dodatni dobavljači objavljuju svoje smjernice.
  • Ako dobavljač vaše distribucije nije naveden, to ne znači da to ne utječe na vaš VM – to znači da dobavljač još nije objavio smjernice za ažuriranje KEK-a i DB-a za sigurno pokretanje sustava 2023. U tom slučaju obratite se dobavljaču distribucije i zatražite preporučenu metodu ili upotrijebite neki od priručnika Alternativni način ažuriranja programske opreme opisan u nastavku.

Preporuke odobrenih dobavljača Linux OS-a:

Preporuke servisa Azure za povjerljive VM-ove:

  • Broj CVM-ova stvorenih prije travnja 2024. vrlo je nizak. Ako je vaš povjerljivi VM jedan od rijetkih koji nema nove certifikate, slijedite korake za ponovno stvaranje CVM-a.

Alternativni načini ažuriranja opreme

Napomena

Prije nego što isprobaju ažuriranje varijabli UEFI-ja izravno na produkcijskim VM-ovima, korisnici mogu koristiti predložak za brzi početak rada na platformi Azure kako bi simulirali Linux Trusted Launch VM sa starijim certifikatima 2011 UEFI CA.

Važno

Načini ručnog ažuriranja opreme u ovom odjeljku alternativa su metodologiji koju preporučuje dobavljač vaše distribucije i međusobno se isključuju. Prvo koristite metodu dobavljača operacijskog sustava kad god je dostupna (pogledajte Preporuke dobavljača Linux OS-a). Koristite ručne metode u nastavku samo ako vaš dobavljač nije objavio smjernice ili ako vas on izričito uputi. Nemojte na isti VM primijeniti i metodu dobavljača i ručnu metodu.  Za ažuriranja morate koristiti samo jedan alternativni način (fwupd, efitools ili sbsigntools) – nije nužno pokrenuti sve tri.  Svaka Linux distribucija pakira različite alate i verzije i putem različitih spremišta, stoga je važno slijediti upute koje vam nudi vaš Linux OS.

Napomena

Dostupnost i verzije alata razlikuju se ovisno o distribuciji i izvoru alata.

1. alternativa: pomoću funkcije fwupd

Provjerite je li na VM instalirana verzija 2.0.8 fwupd ili novija.

Da biste ažurirali KEK i DB, pokrenite ove naredbe s fwupdmgr:

Napomena

  • sudo fwupdmgr refresh
  • sudo fwupdmgr update

2. alternativa: korištenje efitools

  • Preuzmite pakete za ažuriranje DB i KEK za Azure.

    Napomena

    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
  • Provjerite MD5 ili SHA1 preuzetih binarnih datoteka – one bi se trebale točno podudarati sa sljedećim vrijednostima:

    Napomena

    • sha1sum *.bin
    • 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
    • d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
    • md5sum *.bin
    • ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
    • 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
  • Instalirajte pakete ažuriranja pomoću značajke efi-updatevar

    Napomena

    • sudo efi-updatevar -a -f DBUpdate3P2023.bin db
    • sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
    • sudo reboot

3. alternativa: Upotreba alata sbsigntools

  • Preuzmite i potvrdite DBUpdate3P2023.bin i kao što je opisano u prethodnom odjeljku "Alternativa KEKUpdate_Microsoft_PK1.bin2: Korištenje efitoolsa".

  • Koristite uslužni program sbkeysync tvrtke sbsigntools za instalaciju paketa ažuriranja:

    Napomena

    • sudo mkdir -p /etc/secureboot/keys/db
    • sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
    • sudo mkdir -p /etc/secureboot/keys/KEK
    • sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
    • sudo chattr -i /sys/firmware/efi/efivars/db-*
    • sudo chattr -i /sys/firmware/efi/efivars/KEK-*
    • sudo sbkeysync --verbose
    • sudo chattr +i /sys/firmware/efi/efivars/db-*
    • sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    • sudo reboot

Koraci za ublažavanje rizika u slučaju neuspješnog pokretanja

U slučaju scenarija kvara kao što je neuspješno pokretanje sustava nakon ažuriranja varijable UEFI-ja, možete vratiti izvorne postavke UEFI-ja pomoću jedne od sljedećih metoda:

  1. Vratite sigurnosnu kopiju stvorenu prije pokretanja postupka ručnog ažuriranja.
  2. Pretvorite Trusted Launch VM u Standard VM i ponovno primijenite sigurnosnu vrstu Trusted Launch na VM. (Više pojedinosti ovdje: Omogućivanje pouzdanog pokretanja na postojećim virtualnim računalima Gen2 – virtualna računala Azure | Microsoft Learn)
  3. Izvezite vhd operacijskog sustava na račun za pohranu, stvorite sliku galerije iz vhd-a i implementirajte VM pomoću verzije slike galerije .

Izjava o odricanju od odgovornosti za informacije trećih strana

Proizvode treće stane koji se spominju u ovom članku proizvode tvrtke neovisne o tvrtki Microsoft. Ne dajemo jamstva, ni izričita ni drugačija, glede performansi i pouzdanosti tih proizvoda.

Microsoft nudi podatke za kontakt trećih strana da biste lakše pronašli tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez najave. Microsoft ne jamči točnost tih podataka za kontakt trećih strana.

Zapisnik promjena

Promjena datuma Opis izmjene
Srpanj 29, 2026 Velike revizije radi povećanja jasnoće potrebnih radnji i alternativne metode ažuriranja programske opreme.
Lipnja 18, 2026 Referentne poveznice dodane su u odjeljak "Preporuke dobavljača Linux OS-a".