Sertifikatoppdateringer for sikker oppstart for Linux på virtuelle Azure maskiner
Gjelder for
Opprinnelig publiseringsdato: 12. juni 2026 kl.
KB-ID: 5103014
Gjelder:
Azure trusted launch virtuelle maskiner og konfidensielle virtuelle maskiner som kjører Linux med sikker oppstart aktivert
Hvis du vil ha en fullstendig liste over støttede operativsystemer for klarert oppstart, kan du se denne koblingen: Klarert lansering for Azure VM-er – Azure Virtual Machines | Microsoft Learn
Hvis du vil ha en fullstendig liste over støttede operativsystemer for konfidensielle virtuelle maskiner, kan du se denne koblingen: Om Azure konfidensielle VM-er | Microsoft Learn
I denne artikkelen
Innledning
Sikker oppstart er en UEFI-fastvaresikkerhetsfunksjon som bidrar til å sikre at bare klarert, digitalt signert programvare kjører under vm-oppstartssekvensen. Microsoft Secure Boot-sertifikater utstedt i 2011 begynner å utløpe i juni 2026.
For å opprettholde sikker oppstartsbeskyttelse og fortsatt service av den tidlige oppstartsprosessen, må Azure klarerte oppstart som kjører Linux oppdateres med Secure Boot 2023 db- og KEK-sertifikater i virtuell UEFI-fastvare. Konfidensielle virtuelle maskiner for Linux på Azure med gamle sertifikater må opprettes på nytt.
Hvis en virtuell maskin fortsetter å være avhengig av 2011-sertifikatene etter utløp, fortsetter den å starte. Den vil imidlertid ikke lenger motta nye sikkerhetsbeskyttelser i form av oppdateringer og fremtidige sertifikater og tilbakekallinger.
Identifiser scenarioer som krever handling
Se gjennom følgende scenarioer for å finne ut om handling er nødvendig:
-
Linux klarerte virtuelle maskiner (TVM) eller konfidensielle virtuelle maskiner (CVM) opprettet før april 2024
-
Azure Databehandlingsgalleri-bilder tatt fra eldre (før april 2024) Linux klarerte lanserings- eller konfidensielle virtuelle maskiner
-
Øyeblikksbilder eller sikkerhetskopier av Linux klarerte oppstarts- eller konfidensielle virtuelle maskiner opprettet før april 2024
-
Konfidensielle virtuelle maskiner opprettet før april 2024 fra blober, importert som sikker disk.
Klarerte lanserings- og konfidensielt Virtual Machines opprettet etter april 2024 inkluderer vanligvis allerede Secure Boot 2023-sertifikater i virtuell UEFI-fastvare.
Obs!: Linux Konfidensielt antall virtuelle maskiner som ble opprettet før april 2024, bør ikke oppdateres manuelt siden den konfidensielle diskkrypteringen er avhengig av PCR7-verdien for vTPM, som beregnes basert på de sikre oppstartsvariablene. Oppdatering av sertifikatene for sikker oppstart uten å sikre at FDE-tasten forsegles på nytt, vil føre til at den konfidensielle virtuelle maskinen går i gjenopprettingsmodus. Det anbefales å opprette slike gamle konfidensielle virtuelle maskiner på nytt for å få de nye sertifikatene.
vurderinger for Azure gjeste-VM
Oppdateringer for sikker oppstart for Linux på Azure VM-er involverer to komponenter:
-
Sertifikater for sikker oppstart i virtuell fastvare (installeres manuelt via angitt verktøy for operativsystemet eller automatisk via sikkerhetsoppdateringer)
-
Linux mellom- og oppstartslasteroppdateringer (distro-leverandør administrert)
Oppdateringsoperasjoner startes fra gjesteoperativsystemet og er avhengig av plattformstøtte for å bruke godkjente oppdateringer på variabler for sikker oppstart.
Når du har identifisert gjeldende scenarioer, lager du miljøet ditt for å finne ut hvilke vm-er som krever oppdateringer.
Handlinger kreves
For alle Azure gjeste-VM-er:
-
Kontroller om secure boot 2023-sertifikater finnes i virtuell UEFI-fastvare
For virtuelle maskiner med klarerte lanseringer:
-
Start oppdateringer fra det Linux gjeste-VM-operativsystemet der det kreves i henhold til distroleverandørens anbefalte veiledning og verktøy.
-
For Linux vm-er må oppdateringer brukes i riktig rekkefølge.
Viktig!: Oppdater alltid fastvaren for sikker oppstart (UEFI-variabler) før du oppdaterer SHIM eller bootloader.
-
Oppdatering av mellomprogrammet før du oppdaterer fastvaren først, kan føre til en oppstartsfeil.
For konfidensielle virtuelle maskiner:
-
De fleste konfidensielle virtuelle maskiner har allerede de nye sertifikatene. For konfidensielle virtuelle maskiner uten sertifikater for sikker oppstart 2023 til stede, følg veiledningen nedenfor i avsnittet Anbefalinger fra Azure for konfidensielle virtuelle maskiner.
Distribuer oppdateringer
Oppdateringer av sertifikat for sikker oppstart for Linux på Azure VM-er startes fra gjesteoperativsystemet. Disse oppdateringene varierer fra distro-leverandører, og kunder bør først ta kontakt med distroleverandøren på den anbefalte metoden.
Anbefalinger fra Linux OS-leverandører:
-
UEFI Secure Boot: Microsoft 2023 Certificate Transition | AlmaLinux Wiki
-
Microsoft UEFI CA-rotasjon: Hva det betyr for Ubuntu-brukere og -leverandører – Ubuntu Community Hub
Anbefalinger fra Azure for konfidensielle virtuelle maskiner:
-
Antall CVM-er opprettet før april 2024 er svært lavt. Hvis den konfidensielle virtuelle maskinen er en av de få som ikke har de nye sertifikatene, følger du fremgangsmåten for å opprette CVM på nytt.
Oppdateringsmetoder for fastvare
Obs!: Før du prøver UEFI-variabeloppdateringer direkte på virtuelle maskiner i produksjon, kan kunder bruke Azure hurtigstartmalen til å simulere Linux trusted Launch VM med eldre UEFI CA-sertifikater fra 2011.
Bruke fwupd
Kontroller at den virtuelle maskinen har fwupd versjon 2.0.8 eller nyere installert.
Hvis du vil oppdatere både KEK og db, kjører du disse kommandoene med fwupdmgr:
sudo fwupdmgr-oppdatering
sudo fwupdmgr-oppdatering
Bruke efitooler
Last ned oppdateringspakker for db og KEK for Azure.
-
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
-
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Bruk efi-updatevar til å installere oppdateringspakkene
sudo efi-updatevar -a -f DBUpdate3P2023.bin db
sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
sudo-omstart
Bruke sbsigntools
Last ned oppdateringspakker for db og KEK for Azure.
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Bruk sbkeysync-verktøyet for sbsigntools til å installere oppdateringspakkene:
sudo mkdir -p /etc/secureboot/keys/db
sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
sudo mkdir -p /etc/secureboot/keys/KEK
sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
sudo chattr -i /sys/firmware/efi/efivars/db-*
sudo chattr -i /sys/firmware/efi/efivars/KEK-*
sudo sbkeysync --verbose
sudo chattr +i /sys/firmware/efi/efivars/db-*
sudo chattr +i /sys/firmware/efi/efivars/KEK-*
sudo-omstart
Bekreftelsesmetoder
Bruke mokutil
-
mokutil --db | grep "UEFI CA 2023"
-
mokutil --kek | grep "KEK 2K CA 2023"
Bruke efitooler
-
efi-readvar -v db | grep "UEFI CA 2023"
-
efi-readvar -v KEK | grep "KEK 2K CA 2023"
-
oppdatering av Linux oppstartskjede
Etter den vellykkede fastvareoppdateringen er det trygt å bruke oppdateringer fra Linux distribusjonsleverandører.
Andre Azure ressurshensyn
|
Azure ressurs |
Opprettet før april 2024 |
Handling kreves for TVM |
Handling kreves for CVM |
|---|---|---|---|
|
Sikkerhetskopi/øyeblikksbilde |
Ja |
Oppstart av VM, bruk oppdateringer, gjenerobring |
Opprett CVM på nytt, gjenerobr |
|
Sikkerhetskopi/øyeblikksbilde |
Nei |
Ingen handling er nødvendig |
Ingen handling er nødvendig |
|
Bilde av databehandlingsgalleriet |
Ja |
Distribuer, oppdater, gjenerobr |
Opprett CVM på nytt, gjenerobr |
|
Bilde av databehandlingsgalleriet |
Nei |
Ingen handling er nødvendig |
Ingen handling er nødvendig |
Overvåk oppdateringsstatus
Bekreft oppdateringer gjennom gjesteoperativsystemet:
-
Valider vellykket oppstart etter oppdateringer
-
Bekreft at sertifikater for sikker oppstart finnes i fastvaren
Overvåkings- og valideringstilnærminger kan variere etter Linux distribusjon, og du bør ta kontakt med distribusjonsleverandøren.
Utbedringstrinn i tilfelle oppstartsfeil
Ved et feilscenario, for eksempel oppstartsfeil etter UEFI-variabeloppdatering, kan du tilbakestille UEFI-innstillingene ved hjelp av en av metodene nedenfor:
-
Gjenopprett sikkerhetskopieringen før du starter den manuelle oppdateringsprosessen.
-
Konverter virtuell maskin for klarert lansering til Standard VM, og bruk sikkerhetstypen Klarert lansering på nytt på den virtuelle maskinen. (Flere detaljer her: Aktiver klarert lansering på eksisterende Virtuelle Gen2-maskiner – Azure Virtual Machines | Microsoft Learn)
-
Eksporter OS-VHD-en til en lagringskonto, opprett et galleribildefra VHD-en og distribuer VM-en ved hjelp av galleribildeversjonen.
Ansvarsfraskrivelse for tredjepartsinformasjon
Tredjepartsproduktene som beskrives i denne artikkelen, er utviklet av firmaer som er uavhengige av Microsoft. Vi gir ingen garantier, indirekte eller på andre måter, om ytelsen eller påliteligheten til disse produktene.
Vi tilbyr kontaktinformasjon om tredjeparter for å hjelpe deg å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til kontaktinformasjonen om tredjeparter.
Trenger du mer hjelp?
Vil du ha flere alternativer?
Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.
Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.
