Napomena
- Izvorni datum objave: Lipnja 12, 2026
- ID baze znanja: 5103014
Napomena
- Primjenjuje se na:
- Azure Trusted Launch virtualna računala i povjerljiva virtualna računala sa sustavom Linux uz omogućeno sigurno pokretanje sustava
- Cijeli popis podržanih operacijskih sustava za pouzdano pokretanje potražite na ovoj vezi: Pouzdano pokretanje za virtualna računala Azure – virtualna računala Azure | Microsoft Learn
- Cjelovit popis podržanih operacijskih sustava za povjerljive VM-ove potražite na ovoj vezi: O povjerljivim VM-ovima na platformi Azure | Microsoft Learn
Sadržaj članka
Razmatranja o virtualnom računalu gosta na platformi Azure
Koraci za ublažavanje rizika u slučaju neuspješnog pokretanja
Uvod
Sigurno pokretanje jest sigurnosna značajka UEFI opreme koja osigurava da se tijekom slijeda pokretanja VM-a pokrene samo pouzdani, digitalno potpisani softver. Certifikati za Microsoftovo sigurno pokretanje izdani u 2011. počinju isteći u lipnju 2026.
Da bi se održala zaštita od sigurnog pokretanja i kontinuirano servisiranje procesa ranog pokretanja, Azure Trusted Launch sa sustavom Linux mora se ažurirati sigurnom pokretanjem 2023 DB i KEK certifikatima u virtualnom UEFI firmveru. Povjerljiva virtualna računala za Linux na platformi Azure sa starim certifikatima moraju se ponovno stvoriti.
Ako se virtualno računalo nakon isteka i dalje oslanja na certifikate verzije 2011, nastavit će se pokretati. Međutim, više neće primati nove sigurnosne zaštite u obliku SHIM ažuriranja te budućih certifikata i opoziva. Korisnici s VM-ovima koji nemaju ažurirane certifikate trebali bi nastaviti surađivati s dobavljačima distribucija kako bi ažurirali svoje certifikate čak i nakon datuma isteka.
Prepoznavanje scenarija u kojima je potrebna akcija
Pregledajte sljedeće scenarije da biste utvrdili je li potrebno nešto poduzeti:
- Linux pouzdani VM-ovi za pokretanje (TVM) ili povjerljivi VM-ovi (CVM) stvoreni prije travnja 2024.
- Slike iz Azure Compute Gallery snimljene sa starijih (prije travnja 2024.) pouzdanog pokretanja sustava Linux ili povjerljivih VM-ova
- Snimke ili sigurnosne kopije pouzdanog pokretanja sustava Linux ili povjerljivih VM-ova stvorenih prije travnja 2024.
- Povjerljivi VM-ovi stvoreni prije travnja 2024. iz blobova, uvezeni kao sigurni disk.
Pouzdano pokretanje i povjerljiva virtualna računala stvorena nakon travnja 2024. obično već sadrže certifikate sigurnog pokretanja sustava 2023 u virtualnoj UEFI opremi.
Napomena
Linux povjerljivi VM-ovi stvoreni prije travnja 2024. ne bi se trebali ručno ažurirati jer se povjerljivo šifriranje diska oslanja na PCR7 vrijednost vTPM-a koja se izračunava na temelju varijabli sigurnog pokretanja. Ažuriranje certifikata sigurnog pokretanja bez osiguravanja ponovnog pečaćenja FDE ključa dovest će do toga da povjerljivi VM prijeđe u način rada za oporavak. Preporučuje se ponovno stvoriti stare povjerljive VM-ove da biste dobili nove certifikate.
Razmatranja o virtualnom računalu gosta na platformi Azure
Ažuriranja sigurnog pokretanja za Linux na Azure VM-ovima uključuju dvije komponente:
- Certifikati za sigurno pokretanje u virtualnoj programskoj opremi (instaliraju se ručno putem alata koje pruža OS ili automatski putem sigurnosnih ažuriranja)
- Linux shim i bootloader ažuriranja (upravlja dobavljač distribucije)
Operacije ažuriranja pokreću se iz operacijskog sustava gosta i oslanjaju se na podršku platforme radi primjene provjerenih ažuriranja na varijable sigurnog pokretanja.
Nakon identificiranja primjenjivih scenarija napravite inventuru okruženja da biste utvrdili koji VM-ovi zahtijevaju ažuriranja.
Potrebne su radnje
Za sva virtualna računala gosta na platformi Azure:
- Provjerite jesu li certifikati sigurnog pokretanja sustava 2023 prisutni u virtualnoj UEFI firmwareu
Načini provjere valjanosti
Pokrenite te naredbe nakon ažuriranja i ponovnog pokretanja. Na uspješno ažuriranom VM-u svaka naredba vraća odgovarajući redak. Ako naredba ne vrati nikakav rezultat, odgovarajući certifikat za 2023 nije prisutan, a ažuriranje nije primijenjeno – prije primjene ponovno provjerite korake ažuriranja.
DB i KEK provjere moraju vratiti redak. Uspješno ažurirano računalo prikazuje DB certifikat 2023 i KEK certifikat 2023.
Korištenje mokutila
Napomena
- mokutil --db | grep "UEFI CA 2023"
- CN = Microsoft UEFI CA 2023
- mokutil --kek | grep "KEK 2K CA 2023"
- CN = Microsoft Corporation KEK 2K CA 2023
Korištenje efitools
Napomena
- efi-readvar -v db | grep "UEFI CA 2023"
- Microsoft UEFI CA 2023
- efi-readvar -v KEK | grep "KEK 2K CA 2023"
- Microsoft Corporation KEK 2K CA 2023
Napomena
- Ako 'mokutil' nije instaliran, instalirajte ga iz standardnih spremišta vaše distribucije ili koristite 'efi-readvar -v db` / `efi-readvar -v KEK' umjesto toga.
- Za povjerljive VM-ove nemojte pokretati ručno ažuriranje na temelju ovih rezultata – ponovno stvorite VM na način opisan u preporukama servisa Azure za povjerljive VM-ove.
Ažuriranje lanca pokretanja Linuxa
Nakon uspješnog ažuriranja firmvera, sigurno je primijeniti shim ažuriranja od dobavljača Linux distribucije.
Druge napomene vezane uz resurse platforme Azure
| Azure resource | Stvoreno prije travnja 2024. | Potrebna radnja za TVM | Za CVM potrebna radnja |
|---|---|---|---|
| Sigurnosno kopiranje/snimka stanja | Da | Pokretanje VM-a, primjena ažuriranja, ponovno snimanje | Ponovno stvaranje CVM-a, ponovno snimanje |
| Sigurnosno kopiranje/snimka stanja | Ne | Nije potrebno ništa poduzeti | Nije potrebno ništa poduzeti |
| Slika galerije izračuna | Da | Implementacija, ažuriranje, ponovno snimanje | Ponovno stvaranje CVM-a, ponovno snimanje |
| Slika galerije izračuna | Ne | Nije potrebno ništa poduzeti | Nije potrebno ništa poduzeti |
Pratite status ažuriranja
Provjerite ažuriranja putem OS-a gosta:
- Provjera uspješnog pokretanja nakon ažuriranja
- Provjerite jesu li u programskoj opremi prisutni certifikati za sigurno pokretanje
Pristupi praćenju i validaciji mogu se razlikovati ovisno o Linux distribuciji, pa biste trebali provjeriti sa svojim dobavljačem distribucije.
Za pouzdana virtualna računala:
Sva ažuriranja moraju se primijeniti ispravnim redoslijedom.
Važno
Uvijek ažurirajte opremu za sigurno pokretanje (UEFI varijable) prije ažuriranja SHIM-a ili bootloadera.
Preporučuje se da najprije ponovo pokrenete virtualno računalo da biste bili sigurni da je instalirana najnovija oprema i da biste provjerili je li računalo uspješno pokrenuto.
Pokrenite ažuriranja iz operacijskog sustava Linux gosta VM gdje je to potrebno u skladu s preporučenim smjernicama i alatima dobavljača distribucije.
Ako naiđete na pogreške ažuriranja KEK ili DB, a niste prethodno ponovno pokrenuli, ponovno pokrenite svoj VM da biste provjerili koristi li najnoviju opremu i pokušajte ponovno ažurirati KEK i DB.
Ažuriranje podloške prije prvog ažuriranja opreme može dovesti do pogreške pri pokretanju.
Za povjerljive VM-ove:
- Većina povjerljivih VM-ova već ima nove certifikate. Za povjerljive VM-ove bez certifikata sigurnog pokretanja sustava 2023 slijedite upute u nastavku u odjeljku Preporuke servisa Azure za povjerljive VM-ove.
Implementacija ažuriranja
Ažuriranja certifikata sigurnog pokretanja sustava za Linux na VM-ovima na platformi Azure pokreću se iz operacijskog sustava gosta. Ta se ažuriranja razlikuju ovisno o dobavljačima distribucija, pa bi se kupci trebali najprije obratiti dobavljaču distribucije o preporučenoj metodi.
Napomena
- Ovdje su navedeni samo proizvođači operacijskog sustava Linux koji su objavili upute za ažuriranje certifikata za sigurno pokretanje. Taj se popis ažurira kako dodatni dobavljači objavljuju svoje smjernice.
- Ako dobavljač vaše distribucije nije naveden, to ne znači da to ne utječe na vaš VM – to znači da dobavljač još nije objavio smjernice za ažuriranje KEK-a i DB-a za sigurno pokretanje sustava 2023. U tom slučaju obratite se dobavljaču distribucije i zatražite preporučenu metodu ili upotrijebite neki od priručnika Alternativni način ažuriranja programske opreme opisan u nastavku.
Preporuke odobrenih dobavljača Linux OS-a:
- Azure Linux (CBL-Mariner) – prijeđite na Azure Linux 3 ili noviju verziju
- AlmaLinux – UEFI Secure Boot: Microsoft 2023 Certificate Transition Wiki
- Debian - Sigurno boot CA mijenja wiki
- Red Hat (RHEL) – Kako koristiti fwupd za registraciju baze znanja za Microsoft UEFI CA 2023
- Ubuntu – Microsoft UEFI CA rotacija diskurs zajednice
Preporuke servisa Azure za povjerljive VM-ove:
- Broj CVM-ova stvorenih prije travnja 2024. vrlo je nizak. Ako je vaš povjerljivi VM jedan od rijetkih koji nema nove certifikate, slijedite korake za ponovno stvaranje CVM-a.
Alternativni načini ažuriranja opreme
Napomena
Prije nego što isprobaju ažuriranje varijabli UEFI-ja izravno na produkcijskim VM-ovima, korisnici mogu koristiti predložak za brzi početak rada na platformi Azure kako bi simulirali Linux Trusted Launch VM sa starijim certifikatima 2011 UEFI CA.
Važno
Načini ručnog ažuriranja opreme u ovom odjeljku alternativa su metodologiji koju preporučuje dobavljač vaše distribucije i međusobno se isključuju. Prvo koristite metodu dobavljača operacijskog sustava kad god je dostupna (pogledajte Preporuke dobavljača Linux OS-a). Koristite ručne metode u nastavku samo ako vaš dobavljač nije objavio smjernice ili ako vas on izričito uputi. Nemojte na isti VM primijeniti i metodu dobavljača i ručnu metodu. Za ažuriranja morate koristiti samo jedan alternativni način (fwupd, efitools ili sbsigntools) – nije nužno pokrenuti sve tri. Svaka Linux distribucija pakira različite alate i verzije i putem različitih spremišta, stoga je važno slijediti upute koje vam nudi vaš Linux OS.
Napomena
Dostupnost i verzije alata razlikuju se ovisno o distribuciji i izvoru alata.
1. alternativa: pomoću funkcije fwupd
Provjerite je li na VM instalirana verzija 2.0.8 fwupd ili novija.
Da biste ažurirali KEK i DB, pokrenite ove naredbe s fwupdmgr:
Napomena
- sudo fwupdmgr refresh
- sudo fwupdmgr update
2. alternativa: korištenje efitools
Preuzmite pakete za ažuriranje DB i KEK za Azure.
Napomena
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Provjerite MD5 ili SHA1 preuzetih binarnih datoteka – one bi se trebale točno podudarati sa sljedećim vrijednostima:
Napomena
- sha1sum *.bin
- 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
- d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
- md5sum *.bin
- ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
- 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
Instalirajte pakete ažuriranja pomoću značajke efi-updatevar
Napomena
- sudo efi-updatevar -a -f DBUpdate3P2023.bin db
- sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
- sudo reboot
3. alternativa: Upotreba alata sbsigntools
Preuzmite i potvrdite DBUpdate3P2023.bin i kao što je opisano u prethodnom odjeljku "Alternativa KEKUpdate_Microsoft_PK1.bin2: Korištenje efitoolsa".
Koristite uslužni program sbkeysync tvrtke sbsigntools za instalaciju paketa ažuriranja:
Napomena
- sudo mkdir -p /etc/secureboot/keys/db
- sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
- sudo mkdir -p /etc/secureboot/keys/KEK
- sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
- sudo chattr -i /sys/firmware/efi/efivars/db-*
- sudo chattr -i /sys/firmware/efi/efivars/KEK-*
- sudo sbkeysync --verbose
- sudo chattr +i /sys/firmware/efi/efivars/db-*
- sudo chattr +i /sys/firmware/efi/efivars/KEK-*
- sudo reboot
Koraci za ublažavanje rizika u slučaju neuspješnog pokretanja
U slučaju scenarija kvara kao što je neuspješno pokretanje sustava nakon ažuriranja varijable UEFI-ja, možete vratiti izvorne postavke UEFI-ja pomoću jedne od sljedećih metoda:
- Vratite sigurnosnu kopiju stvorenu prije pokretanja postupka ručnog ažuriranja.
- Pretvorite Trusted Launch VM u Standard VM i ponovno primijenite sigurnosnu vrstu Trusted Launch na VM. (Više pojedinosti ovdje: Omogućivanje pouzdanog pokretanja na postojećim virtualnim računalima Gen2 – virtualna računala Azure | Microsoft Learn)
- Izvezite vhd operacijskog sustava na račun za pohranu, stvorite sliku galerije iz vhd-a i implementirajte VM pomoću verzije slike galerije .
Izjava o odricanju od odgovornosti za informacije trećih strana
Proizvode treće stane koji se spominju u ovom članku proizvode tvrtke neovisne o tvrtki Microsoft. Ne dajemo jamstva, ni izričita ni drugačija, glede performansi i pouzdanosti tih proizvoda.
Microsoft nudi podatke za kontakt trećih strana da biste lakše pronašli tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez najave. Microsoft ne jamči točnost tih podataka za kontakt trećih strana.
Zapisnik promjena
| Promjena datuma | Opis izmjene |
|---|---|
| Srpanj 29, 2026 | Velike revizije radi povećanja jasnoće potrebnih radnji i alternativne metode ažuriranja programske opreme. |
| Lipnja 18, 2026 | Referentne poveznice dodane su u odjeljak "Preporuke dobavljača Linux OS-a". |