Azure仮想マシンでのLinuxのセキュア ブート証明書の更新
適用先
元の発行日: 2026 年 6 月 12 日
KB ID: 5103014
対象製品:
セキュア ブートが有効になっている Linuxを実行している信頼された起動仮想マシンと機密仮想マシンのAzure
信頼できる起動でサポートされている OS の完全な一覧については、「Azure VM の信頼された起動 - Azure Virtual Machines |Microsoft Learn
機密 VM でサポートされている OS の完全な一覧については、次のリンクを参照してください:機密 VM のAzureについて |Microsoft Learn
この資料の内容
概要
セキュア ブートは、VM のブート シーケンス中に信頼されたデジタル署名されたソフトウェアのみを確実に実行するのに役立つ UEFI ファームウェア セキュリティ機能です。 2011 年に発行された Microsoft セキュア ブート証明書は、2026 年 6 月に期限切れになります。
セキュア ブート保護を維持し、初期ブート プロセスの継続的なサービスを維持するには、仮想 UEFI ファームウェアの Secure Boot 2023 DB 証明書と KEK 証明書を使用して、Linuxを実行Azureトラステッド起動を更新する必要があります。 古い証明書を含むAzureのLinux用の機密仮想マシンを再作成する必要があります。
有効期限が切れた後も VM が 2011 証明書に依存し続ける場合は、引き続き起動します。 ただし、shim 更新プログラムと将来の証明書と失効の形で新しいセキュリティ保護を受け取る必要はなくなりました。 証明書が更新されていない VM をお持ちのお客様は、有効期限が切れた後でもディストリビューション ベンダーと連携して証明書を更新する必要があります。
アクションを必要とするシナリオを特定する
アクションが必要かどうかを判断するには、次のシナリオを確認します。
-
2024 年 4 月より前に作成された信頼された起動 VM (TVM) または機密 VM (CVM) のLinux
-
古い (2024 年 4 月より前) Linux信頼された起動または機密 VM からキャプチャされたコンピューティング ギャラリーイメージのAzure
-
2024 年 4 月より前に作成Linux信頼された起動または機密 VM のスナップショットまたはバックアップ
-
機密 VM は、セキュリティで保護されたディスクとしてインポートされた BLOB から 2024 年 4 月より前に作成されました。
2024 年 4 月以降に作成されたトラステッド起動と機密Virtual Machines、通常は仮想 UEFI ファームウェアに Secure Boot 2023 証明書が既に含まれています。
注: Linux 2024 年 4 月より前に作成された機密 VM は、セキュリティで保護されたブート変数に基づいて計算される vTPM の PCR7 値に依存するため、手動で更新しないでください。 FDE キーを再シールせずにセキュア ブート証明書を更新すると、機密 VM が復旧モードになります。 このような古い機密 VM を再作成して、新しい証明書を取得することをお勧めします。
ゲスト VM のAzureに関する考慮事項
Azure VM 上のLinuxのセキュア ブート更新プログラムには、次の 2 つのコンポーネントが含まれます。
-
仮想ファームウェアのセキュア ブート証明書 (OS によって提供されるツールを使用して手動でインストールするか、セキュリティ更新プログラムを介して自動的にインストールされます)
-
shim 更新プログラムとブートローダ更新プログラムのLinux (ディストリビューション ベンダーが管理)
更新操作はゲスト オペレーティング システム内から開始され、プラットフォームのサポートに依存して、セキュア ブート変数に認証済みの更新プログラムを適用します。
該当するシナリオを特定したら、環境をインベントリして、更新が必要な VM を特定します。
処置が必要です
すべてのAzureゲスト VM の場合:
-
セキュア ブート 2023 証明書が仮想 UEFI ファームウェアに存在するかどうかを確認する
検証方法
更新と再起動後にこれらのコマンドを実行します。 正常に更新された VM では、各コマンドは一致する行を返します。 コマンドが出力を返さない場合、対応する 2023 証明書が存在せず、更新プログラムが適用されていない場合は、適用する前に更新手順を再チェックします。
DB チェックと KEK チェックの両方が行を返す必要があります。 正常に更新されたマシンには、2023 DB 証明書 と 2023 KEK 証明書が表示されます。
mokutil の使用
-
mokutil --db |grep "UEFI CA 2023"
-
CN = Microsoft UEFI CA 2023
-
mokutil --kek |grep "KEK 2K CA 2023"
-
CN = Microsoft Corporation KEK 2K CA 2023
efitools の使用
-
efi-readvar -v db |grep "UEFI CA 2023"
-
Microsoft UEFI CA 2023
-
efi-readvar -v KEK |grep "KEK 2K CA 2023"
-
Microsoft Corporation KEK 2K CA 2023
注:
-
'mokutil' がインストールされていない場合は、ディストリビューションの標準リポジトリからインストールするか、代わりに 'efi-readvar -v db' / 'efi-readvar -v KEK' を使用します。
-
機密 VM の場合は、この出力に基づいて手動で更新を実行しないでください。「機密 VM のAzureによる推奨事項」の説明に従って VM を再作成します。
Linux ブート チェーンの更新
ファームウェアの更新が成功した後は、Linux配布ベンダーから shim 更新プログラムを適用しても安全です。
その他のAzureリソースに関する考慮事項
|
リソースのAzure |
2024 年 4 月より前に作成 |
TVM に必要なアクション |
CVM に必要なアクション |
|---|---|---|---|
|
バックアップ/スナップショット |
はい |
VM の起動、更新プログラムの適用、再キャプチャ |
CVM を再作成し、再キャプチャする |
|
バックアップ/スナップショット |
いいえ |
アクションは必要ありません |
アクションは必要ありません |
|
コンピューティング ギャラリー イメージ |
はい |
デプロイ、更新、再キャプチャ |
CVM を再作成し、再キャプチャする |
|
コンピューティング ギャラリー イメージ |
いいえ |
アクションは必要ありません |
アクションは必要ありません |
更新の状態を監視する
ゲスト OS を使用して更新プログラムを確認します。
-
更新後の正常な起動を検証する
-
セキュア ブート証明書がファームウェアに存在することを確認する
監視と検証のアプローチは、配布Linuxによって異なる場合があり、配布ベンダーとチェックする必要があります。
信頼できる起動 VM の場合:
-
すべての更新プログラムは、正しい順序で適用する必要があります。
重要: shim またはブートローダーを更新する前に、セキュア ブート ファームウェア (UEFI 変数) を常に更新してください。
-
VM を最初に再起動して、最新のファームウェアが実行されていることを確認し、正常な起動を確認することをお勧めします。
-
ディストリビューション ベンダーの推奨されるガイダンスとツールに従って、必要に応じて、Linux ゲスト VM オペレーティング システム内から更新を開始します。
-
KEK または DB の更新エラーが発生し、最初に再起動しなかった場合は、VM を再起動して最新のファームウェアが実行されていることを確認し、KEK と DB をもう一度更新してみてください。
-
ファームウェアを最初に更新する前に shim を更新すると、起動エラーが発生する可能性があります。
機密 VM の場合:
-
ほとんどの機密 VM には、新しい証明書が既に存在します。 Secure Boot 2023 証明書が存在しない機密 VM の場合は、「機密 VM のAzureによる推奨事項」セクションの以下のガイダンスに従ってください。
更新プログラムを展開する
Azure VM 上のLinuxのセキュア ブート証明書の更新は、ゲスト オペレーティング システム内から開始されます。 これらの更新プログラムはディストリビューション ベンダーによって異なり、お客様は推奨される方法でまずディストリビューション ベンダーとチェックする必要があります。
注:
-
セキュア ブート証明書の更新ガイダンスを発行したLinux OS ベンダーのみがここに一覧表示されます。 この一覧は、追加のベンダーがガイダンスを公開すると更新されます。
-
ディストリビューションのベンダーが一覧に表示されていない場合、VM が影響を受けないことを意味するわけではありません。つまり、ベンダーはまだセキュア ブート 2023 KEK と DB の更新ガイダンスを公開していません。 その場合は、推奨される方法については、ディストリビューション ベンダーにお問い合わせください。または、以下で説明する手動の代替ファームウェア更新方法 のいずれかを使用してください。
推奨Linux OS ベンダーからの推奨事項:
-
Azure Linux (CBL-Mariner) - Azure Linux 3 以降に移行してください
-
AlmaLinux - UEFI セキュア ブート: Microsoft 2023 証明書移行 Wiki
-
Debian - セキュア ブート CA の変更 Wiki
-
Red Hat (RHEL) - fwupd を使用して Microsoft UEFI CA 2023 証明書 KB を登録する方法
-
Ubuntu - Microsoft UEFI CA ローテーション コミュニティ談話
機密 VM のAzure別の推奨事項:
-
2024 年 4 月より前に作成された CVM の数は非常に少ない。 Confidential VM が新しい証明書を持たない数少ない VM の 1 つである場合は、手順に従って CVM を再作成します。
代替ファームウェアの更新方法
注: 運用環境の VM で UEFI 変数の更新プログラムを直接試す前に、Azureクイック スタート テンプレートを利用して、古い 2011 UEFI CA 証明書を使用して信頼された起動 VM Linuxをシミュレートできます。
重要: このセクションの手動ファームウェア更新方法は、ディストリビューション ベンダーが推奨する方法に代わる方法であり、相互に排他的です。 OS ベンダーのメソッドを最初に使用できる場合は常に使用します (「Linux OS ベンダーからの推奨事項」を参照してください)。 ベンダーがガイダンスを公開していない場合、またはベンダーから明示的に指示された場合にのみ、以下の手動の方法を使用します。 ベンダーメソッドと手動メソッドの両方を同じ VM に適用しないでください。 更新には 1 つの代替方法 (fwupd、efitools、または sbsigntools) のみを使用する必要があります。3 つすべてを実行する必要はありません。 各Linuxディストリビューションは、異なるツールとバージョンをパッケージ化し、異なるリポジトリを介してパッケージ化するため、Linux OS によって提供される指示に従う必要があります。
注: ツールの可用性とバージョンは、配布とツール ソースによって異なります。
代替 1: fwupd の使用
VM に fwupd バージョン 2.0.8 以降がインストールされていることを確認します。
KEK と DB の両方を更新するには、fwupdmgr で次のコマンドを実行します。
sudo fwupdmgr refresh
sudo fwupdmgr の更新
代替 2: efitools の使用
-
Azure用の DB および KEK 更新プログラム パッケージをダウンロードします。
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
-
ダウンロードしたバイナリの MD5 または SHA1 を確認します。次の内容と正確に一致する必要があります。
sha1sum *.bin
87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
md5sum *.bin
ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
-
efi-updatevar を使用して更新プログラム パッケージをインストールする
sudo efi-updatevar -a -f DBUpdate3P2023.bin db
sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
sudo reboot
代替 3: sbsigntools の使用
-
上記の「代替 2: efitools の使用」で説明されているように、DBUpdate3P2023.binとKEKUpdate_Microsoft_PK1.binをダウンロードして確認します。
-
sbsigntools の sbkeysync ユーティリティを使用して、更新プログラム パッケージをインストールします。
sudo mkdir -p /etc/secureboot/keys/db
sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
sudo mkdir -p /etc/secureboot/keys/KEK
sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
sudo chattr -i /sys/firmware/efi/efivars/db-*
sudo chattr -i /sys/firmware/efi/efivars/KEK-*
sudo sbkeysync --verbose
sudo chattr +i /sys/firmware/efi/efivars/db-*
sudo chattr +i /sys/firmware/efi/efivars/KEK-*
sudo reboot
ブート エラーが発生した場合の軽減手順
UEFI 変数の更新後のブート エラーなどのエラー シナリオの場合は、次のいずれかの方法を使用して UEFI 設定をリセットできます。
-
手動更新プロセスを開始する前に、作成したバックアップを復元します。
-
トラステッド起動 VM を Standard VM に変換し、VM にトラステッド起動セキュリティの種類を再適用します。 (詳細については、以下を参照してください: 既存の Gen2 VM で信頼された起動を有効にする - Azure Virtual Machines |Microsoft Learn)
-
OS vhd をストレージ アカウントにエクスポートし、vhd からギャラリー イメージを作成し、 ギャラリーイメージバージョンを使用して VM をデプロイします。
サードパーティの情報に関する免責事項
この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。
Microsoft は、ユーザーがテクニカル サポートを見つけるため、サード パーティの連絡先を提供しています。 将来予告なしに変更されることがあります。 Microsoft は、サード パーティの連絡先情報の正確性を保証していません。
変更ログ
|
日付の変更 |
説明を変更する |
|
2026 年 7 月 29 日 |
必要なアクションを明確にするための主なリビジョンと、代替ファームウェアの更新方法。 |
|
2026 年 6 月 18 日 |
「Linux OS ベンダーからの推奨事項」セクションに参照リンクが追加されました。 |