Obs!
- Opprinnelig publiseringsdato: 12. juni 2026 kl.
- KB-ID: 5103014
Obs!
- Gjelder for:
- Azure Trusted Start virtuelle maskiner og konfidensielle Virtual Machines som kjører Linux med sikker oppstart aktivert
- Hvis du vil ha en fullstendig liste over støttet operativsystem for klarert oppstart, kan du se denne koblingen: Klarert oppstart for virtuelle Azure – Azure Virtual Machines | Microsoft Learn
- Hvis du vil ha en fullstendig liste over støttede operativsystemer for konfidensielle virtuelle maskiner, kan du se denne koblingen: Om konfidensielle virtuelle maskiner for Azure | Microsoft Learn
I denne artikkelen
Innføring
Secure Boot er en sikkerhetsfunksjon for UEFI-fastvare som bidrar til å sikre at bare klarert, digitalt signert programvare kjører under oppstartssekvensen for den virtuelle maskinen. Microsoft Secure Boot-sertifikater utstedt i 2011 begynner å utløpe i juni 2026.
For å opprettholde Secure Boot-beskyttelse og fortsatt vedlikehold av den tidlige oppstartsprosessen, må Azure Trusted Launch som kjører Linux, oppdateres med Secure Boot 2023 DB- og KEK-sertifikater i virtuell UEFI-fastvare. Konfidensielle Virtual Machines for Linux på Azure med gamle sertifikater må opprettes på nytt.
Hvis en virtuell maskin fortsetter å være avhengig av 2011-sertifikater etter utløp, fortsetter den å starte. Det vil imidlertid ikke lenger motta ny sikkerhetsbeskyttelse i form av shim-oppdateringer og fremtidige sertifikater og tilbakekallinger. Kunder med virtuelle maskiner som ikke har oppdaterte sertifikater, bør fortsette å samarbeide med distribusjonsleverandørene for å oppdatere sertifikatene selv etter utløpsdatoen.
Identifiser scenarioer som krever handling
Se gjennom følgende scenarioer for å finne ut om handling er nødvendig:
- Linux Trusted Launch VM-er (TVM) eller konfidensielle virtuelle maskiner (CVM) opprettet før april 2024
- Azure Compute Gallery-avbildninger som er tatt fra eldre (før april 2024) Linux Trusted Launch eller konfidensielle virtuelle maskiner
- Øyeblikksbilder eller sikkerhetskopier av Linux klarert start eller konfidensielle virtuelle maskiner opprettet før april 2024
- Konfidensielle virtuelle maskiner opprettet fra blober før april 2024, importert som sikker disk.
Klarerte oppstarter og konfidensielle Virtual Machines opprettet etter april 2024 inkluderer vanligvis allerede Secure Boot 2023-sertifikater i virtuell UEFI-fastvare.
Obs!
Konfidensielle Linux-virtuelle maskiner som er opprettet før april 2024, bør ikke oppdateres manuelt fordi konfidensiell diskkryptering er avhengig av PCR7-verdien til vTPM, som beregnes basert på variablene for sikker oppstart. Hvis du oppdaterer sertifikater for sikker oppstart uten å sikre at FDE-nøkkelen forsegles på nytt, vil den konfidensielle virtuelle maskinen gå i gjenopprettingsmodus. Det anbefales å opprette slike gamle, konfidensielle virtuelle maskiner på nytt for å få de nye sertifikatene.
Hensyn som hensyn til virtuelle Azure-gjester
Sikker oppstart-oppdateringer for Linux på virtuelle Azure-maskiner omfatter to komponenter:
- Secure Boot-sertifikater i virtuell fastvare (installeres manuelt via verktøy levert av operativsystemet eller automatisk via sikkerhetsoppdateringer)
- Linux shim- og bootloader-oppdateringer (distroleverandøradministrert)
Oppdateringsoperasjoner startes fra gjesteoperativsystemet og er avhengig av plattformstøtte for å bruke godkjente oppdateringer på Secure Boot-variabler.
Etter at du har identifisert aktuelle scenarier, kan du vurdere miljøet for å finne ut hvilke virtuelle maskiner som krever oppdateringer.
Handlinger kreves
For alle virtuelle Azure-gjestemaskiner:
- Kontroller om Secure Boot 2023-sertifikater finnes i virtuell UEFI-fastvare
Verifiseringsmetoder
Kjør disse kommandoene etter oppdateringen, og start på nytt. På en vel oppdatert virtuell maskin returnerer hver kommando en samsvarende linje. Hvis en kommando ikke returnerer noen utdata, det tilsvarende 2023-sertifikatet ikke finnes, og oppdateringen ikke er tatt i bruk – sjekk oppdateringstrinnene på nytt før du bruker.
Både DB- og KEK-kontrollene må returnere en linje. En maskin som er oppdatert viser 2023 DB-sertifikatet og 2023 KEK-sertifikatet.
Bruke mokutil
Obs!
- mokutil --db | grep "UEFI CA 2023"
- CN = Microsoft UEFI CA 2023
- mokutil --kek | grep "KEK 2K CA 2023"
- CN = Microsoft Corporation KEK 2K CA 2023
Bruke efitools
Obs!
- efi-readvar -v db | grep "UEFI CA 2023"
- Microsoft UEFI CA 2023
- efi-readvar -v KEK | grep "KEK 2K CA 2023"
- Microsoft Corporation KEK 2K CA 2023
Merknad
- Hvis "mokutil ikke er installert, installer det fra distribusjonens standard lagre, eller bruk "efi-readvar -v db` / `efi-readvar -v KEK i stedet.
- For konfidensielle virtuelle maskiner må du ikke kjøre en manuell oppdatering basert på disse utdataene – gjenskap den virtuelle maskinen som beskrevet i Azure anbefalinger for konfidensielle virtuelle maskiner.
Oppdatering av Linux-oppstartskjede
Etter den vellykkede fastvareoppdateringen er det trygt å bruke shim-oppdateringer fra Linux-distribusjonsleverandørene.
Andre faktorer som må tas hensyn til Azure-ressurser
| Azure-ressurs | Opprettet før april 2024 | Handling kreves for TVM | Handling kreves for CVM |
|---|---|---|---|
| Sikkerhetskopiering/øyeblikksbilde | Ja | Start VM, bruk oppdateringer, hent på nytt | Opprett CVM-en på nytt, gjenskap |
| Sikkerhetskopiering/øyeblikksbilde | Nei | Krever ingen handling | Krever ingen handling |
| Bilde av databehandlingsgalleri | Ja | Distribuere, oppdatere, hente på nytt | Opprett CVM-en på nytt, gjenskap |
| Bilde av databehandlingsgalleri | Nei | Krever ingen handling | Krever ingen handling |
Overvåk oppdateringsstatus
Kontroller oppdateringer via gjesteoperativsystemet:
- Valider vellykket oppstart etter oppdateringer
- Bekreft at Secure Boot-sertifikater finnes i fastvaren
Tilnærminger til overvåking og validering kan variere etter Linux-distribusjon, og du bør kontakte distribusjonsleverandøren.
For virtuelle maskiner med klarert oppstart:
Alle oppdateringer må utføres i riktig rekkefølge.
Viktig
Oppdater alltid fastvaren Secure Boot (UEFI-variabler) før du oppdaterer shim eller bootloader.
Det anbefales å starte den virtuelle maskinen på nytt først for å sikre at den kjører den nyeste fastvaren og bekrefte en vellykket oppstart.
Start oppdateringer fra Linux-gjesteoperativsystemet for virtuelle maskiner der det er nødvendig i henhold til distro-leverandørens anbefalte veiledning og verktøy.
Hvis det oppstår feil i KEK- eller DB-oppdatering og du ikke startet på nytt først, starter du den virtuelle maskinen på nytt for å kontrollere at den kjører den nyeste fastvaren, og prøver å oppdatere KEK og DB på nytt.
Hvis du oppdaterer mellomlagsskiven før du oppdaterer fastvaren først, kan det føre til oppstartsfeil.
For konfidensielle virtuelle maskiner:
- De fleste konfidensielle virtuelle maskiner har allerede de nye sertifikatene. For konfidensielle virtuelle maskiner uten Secure Boot 2023-sertifikater følger du veiledningen nedenfor i delen Anbefalinger fra Azure for konfidensielle virtuelle maskiner.
Distribuere oppdateringer
Sertifikatoppdateringer for sikker oppstart for Linux på virtuelle Azure-maskiner startes fra gjesteoperativsystemet. Disse oppdateringene varierer fra distro-leverandør til distro-leverandør, og kunder bør først sjekke med distro-leverandøren om anbefalt metode.
Obs!
- Bare Linux-OS-leverandørene som har publisert veiledning for oppdatering av Secure Boot-sertifikater, er oppført her. Denne listen oppdateres etter hvert som flere leverandører publiserer sin veiledning.
- Hvis distribusjonsleverandøren ikke er oppført, betyr det ikke at VM-en er upåvirket – det betyr at leverandøren ennå ikke har publisert Sikker oppstart 2023 KEK- og DB-oppdateringsveiledning. I så fall kan du kontakte distribusjonsleverandøren for å få informasjon om den anbefalte metoden, eller bruke en av de manuelle alternative fastvareoppdateringsmetodene som er beskrevet nedenfor.
Anbefalinger fra godkjente Linux OS-leverandører:
- Azure Linux (CBL-Mariner) – Overfør til Azure Linux 3 eller nyere
- AlmaLinux – UEFI sikker oppstart: Microsoft 2023 sertifikatovergangswiki
- Debian - Secure Boot CA Changes Wiki
- Red Hat (RHEL) – Slik bruker du fwupd til å registrere Microsoft UEFI CA 2023-sertifikatet KB
- Ubuntu – Microsoft UEFI CA-rotasjon Fellesskapsdiskurs
Anbefalinger fra Azure for konfidensielle virtuelle maskiner:
- Antallet CVM-er opprettet før april 2024 er svært lavt. Hvis den konfidensielle virtuelle maskinen er en av få som ikke har de nye sertifikatene, følger du fremgangsmåten for å opprette CVM-en på nytt.
Alternative metoder for fastvareoppdatering
Obs!
Før kunder prøver oppdateringer for UEFI-variabler direkte på virtuelle produksjonsmaskiner, kan de bruke malen for hurtigstart-Azure til å simulere den virtuelle maskinen med Linux Trusted Launch med eldre 2011 UEFI CA-sertifikater.
Viktig
De manuelle fastvareoppdateringsmetodene i denne delen er et alternativ til, og gjensidig utelukkende med, distribusjonsleverandørens anbefalte metodikk. Bruk OS-leverandørens metode når en er tilgjengelig først (se Anbefalinger fra Linux OS-leverandører). Bruk de manuelle metodene nedenfor bare når leverandøren ikke har publisert veiledning, eller når leverandøren uttrykkelig ber deg om å gjøre det. Ikke bruk både leverandørmetoden og en manuell metode på samme virtuelle maskin. Du trenger bare å bruke én alternativ metode for oppdateringer (fwupd, efitools eller sbsigntools) – det er ikke nødvendig å kjøre alle tre. Hver Linux-distro pakker forskjellige verktøy og versjoner og via forskjellige depoter, så det er viktig å følge instruksjonene fra Linux-operativsystemet ditt.
Obs!
Verktøytilgjengelighet og -versjoner varierer etter distribusjon og verktøykilde.
Sjekk at den virtuelle maskinen har fwupd-versjon 2.0.8 eller nyere installert.
Hvis du vil oppdatere både KEK og DB, kjører du disse kommandoene med fwupdmgr:
Obs!
- sudo fwupdmgr refresh
- sudo fwupdmgr update
Last ned DB- og KEK-oppdateringspakker for Azure.
Obs!
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Kontroller MD5 eller SHA1 for de nedlastede binærfilene – de bør samsvare nøyaktig med følgende:
Obs!
- sha1sum *.bin
- 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
- d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
- md5sum *.bin
- ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
- 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
Bruk efi-updatevar til å installere oppdateringspakkene
Obs!
- sudo efi-updatevar -a -f DBUpdate3P2023.bin db
- sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
- sudo reboot
Alternativ 3: Bruke sbsigntools
Last ned og bekreft DBUpdate3P2023.bin og KEKUpdate_Microsoft_PK1.bin som beskrevet i "Alternativ 2: Bruke efitools" ovenfor.
Bruk sbkeysync-verktøyet for sbsigntools til å installere oppdateringspakkene:
Obs!
- sudo mkdir -p /etc/secureboot/keys/db
- sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
- sudo mkdir -p /etc/secureboot/keys/KEK
- sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
- sudo chattr -i /sys/firmware/efi/efivars/db-*
- sudo chattr -i /sys/firmware/efi/efivars/KEK-*
- sudo sbkeysync --verbose
- sudo chattr +i /sys/firmware/efi/efivars/db-*
- sudo chattr +i /sys/firmware/efi/efivars/KEK-*
- sudo reboot
Reduksjonstrinn ved oppstartsfeil
Hvis det oppstår et feilscenario, for eksempel oppstartsfeil etter oppdatering av UEFI-variabel, kan du tilbakestille UEFI-innstillingene ved hjelp av en av metodene nedenfor:
- Gjenopprett sikkerhetskopien som ble tatt før du startet den manuelle oppdateringsprosessen.
- Konverter Klarert oppstart av VM til Standard VM, og bruk sikkerhetstypen Klarert start på nytt på den virtuelle maskinen. (Mer informasjon her: Aktiver klarert start på eksisterende virtuelle Gen2-maskiner – Azure Virtual Machines | Microsoft Learn)
- Eksporter den virtuelle harddisken for operativsystemet til en lagringskonto, opprett en galleriavbildning fra den virtuelle harddisken, og distribuer den virtuelle maskinen ved hjelp av versjonen av galleriavbildningen .
Ansvarsfraskrivelse for tredjepartsinformasjon
Tredjepartsproduktene som beskrives i denne artikkelen, er utviklet av firmaer som er uavhengige av Microsoft. Vi gir ingen garantier, indirekte eller på andre måter, om ytelsen eller påliteligheten til disse produktene.
Vi tilbyr kontaktinformasjon om tredjeparter for å hjelpe deg å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til kontaktinformasjonen om tredjeparter.
Endringslogg
| Endre dato | Endre beskrivelse |
|---|---|
| 29. juli 2026 kl. | Store revisjoner for å gi klarhet i nødvendige handlinger og alternative metoder for fastvareoppdatering. |
| 18. juni 2026 | Referansekoblinger ble lagt til i delen «Anbefalinger fra Linux OS-leverandører». |