Certificaatupdates voor beveiligd opstarten voor Linux op Azure virtuele machines

Van toepassing op
Virtual Machine running Linux

Opmerking

  • Oorspronkelijke publicatiedatum: 12 juni 2026
  • KB-id: 5103014

Opmerking

In dit artikel

Inleiding

Beveiligd opstarten is een UEFI-firmwarebeveiligingsfunctie die ervoor zorgt dat alleen vertrouwde, digitaal ondertekende software wordt uitgevoerd tijdens het opstarten van de VM. Microsoft Secure Boot-certificaten die zijn uitgegeven in 2011, verlopen in juni 2026.

Om Secure Boot-beveiliging te behouden en het vroege opstartproces te blijven onderhouden, moet Azure Trusted Launch met Linux worden bijgewerkt met Secure Boot 2023 DB- en KEK-certificaten in virtuele UEFI-firmware. Confidential Virtual Machines for Linux on Azure with old certificates must be recreëerd.

Als een VM na de vervaldatum afhankelijk blijft van de 2011-certificaten, blijft deze opstarten. Het ontvangt echter geen nieuwe beveiligingsmaatregelen meer in de vorm van shim-updates en toekomstige certificaten en intrekkingen. Klanten met VM's die geen bijgewerkte certificaten hebben, moeten blijven werken met hun distributieleveranciers om hun certificaten bij te werken, zelfs na de vervaldatum.

Identificeer scenario's die actie vereisen

Bekijk de volgende scenario's om te bepalen of actie is vereist:

  • Linux Trusted Launch VM's (TVM) of Confidential VM's (CVM) die vóór april 2024 zijn gemaakt
  • Installatiekopieën van Azure Compute Gallery die zijn vastgelegd van oudere (vóór april 2024) Linux Trusted Launch of Confidential VM's
  • Momentopnamen of back-ups van Linux Trusted Launch of Confidential VM's die vóór april 2024 zijn gemaakt
  • Vertrouwelijke VM's die vóór april 2024 zijn gemaakt op basis van blobs, geïmporteerd als beveiligde schijf.

Trusted Launch en Confidential Virtual Machines die na april 2024 zijn gemaakt, bevatten doorgaans al Secure Boot 2023-certificaten in virtuele UEFI-firmware.

Opmerking

Vertrouwelijke Linux-VM's die vóór april 2024 zijn gemaakt, mogen niet handmatig worden bijgewerkt, omdat de vertrouwelijke schijfversleuteling afhankelijk is van de PCR7-waarde van de vTPM die wordt berekend op basis van de variabelen voor beveiligd opstarten. Als je de certificaten voor beveiligd opstarten bijwerkt zonder ervoor te zorgen dat de FDE-sleutel opnieuw wordt verzegeld, gaat de vertrouwelijke VM naar de herstelmodus. Het wordt aanbevolen om dergelijke oude vertrouwelijke VM's opnieuw te maken om de nieuwe certificaten te verkrijgen.

Azure overwegingen voor gast-VM's

Updates voor beveiligd opstarten voor Linux op VM's voor Azure bestaan uit twee onderdelen:

  • Certificaten voor beveiligd opstarten in virtuele firmware (handmatig geïnstalleerd via door het besturingssysteem geleverde hulpprogramma's of automatisch via beveiligingsupdates)
  • Updates voor Linux-shim en -bootloader (door de distributieleverancier beheerd)

Updatebewerkingen worden geïnitieerd vanuit het gastbesturingssysteem en zijn afhankelijk van platformondersteuning om geverifieerde updates toe te passen op variabelen voor beveiligd opstarten.

Nadat u de toepasselijke scenario's hebt geïdentificeerd, inventariseert u de omgeving om te bepalen welke VM's updates nodig hebben.

Vereiste acties

Voor alle gast-VM's van Azure:

  • Controleren of certificaten voor Secure Boot 2023 aanwezig zijn in de virtuele UEFI-firmware

Verificatiemethoden

Voer deze opdrachten uit na de update en start opnieuw op. Op een VM die correct is bijgewerkt , wordt met elke opdracht een overeenkomende regel geretourneerd. Als een opdracht geen uitvoer retourneert, is het bijbehorende certificaat voor 2023 niet aanwezig en is de update niet toegepast. Controleer de updatestappen opnieuw voordat u de update toepast.

Zowel de DB- als de KEK-controles moeten een regel retourneren. Een succesvol bijgewerkte machine toont het 2023 DB-certificaat en het 2023 KEK-certificaat.

Mokutil gebruiken

Opmerking

  • mokutil --db | grep "UEFI CA 2023"
  • CN = Microsoft UEFI CA 2023
  • mokutil --kek | grep "KEK 2K CA 2023"
  • CN = Microsoft Corporation KEK 2K CA 2023

efitools gebruiken

Opmerking

  • efi-readvar -v db | grep "UEFI CA 2023"
  • Microsoft UEFI CA 2023
  • efi-readvar -v KEK | grep "KEK 2K CA 2023"
  • Microsoft Corporation KEK 2K CA 2023

Opmerking

  • Als 'mokutil' niet is geïnstalleerd, installeer het dan vanuit de standaardopslagplaatsen van uw distributie of gebruik in plaats daarvan 'efi-readvar -v db` / `efi-readvar -v KEK'.
  • Voor vertrouwelijke VM's voert u geen handmatige update uit op basis van deze uitvoer. Maak de VM opnieuw zoals beschreven in Aanbevelingen van Azure voor vertrouwelijke VM's.

Update van de opstartketen van Linux

Na de succesvolle firmware-update is het veilig om shim-updates van de leveranciers van de Linux-distributie toe te passen.

Andere aandachtspunten voor Azure-resources

Azure-resource Gemaakt vóór april 2024 Actie vereist voor TVM Actie vereist voor CVM
Back-up/momentopname Ja VM opstarten, updates toepassen, opnieuw vastleggen De CVM opnieuw maken, opnieuw vastleggen
Back-up/momentopname Nee Geen actie nodig Geen actie nodig
Afbeelding van Rekengalerij Ja Implementeren, bijwerken, opnieuw vastleggen De CVM opnieuw maken, opnieuw vastleggen
Afbeelding van Rekengalerij Nee Geen actie nodig Geen actie nodig

Updatestatus controleren

Updates controleren via het gastbesturingssysteem:

  • Succesvol opstarten na updates valideren
  • Controleer of de certificaten voor beveiligd opstarten aanwezig zijn in de firmware

Controle- en validatiemethoden kunnen verschillen per Linux-distributie. Neem contact op met uw distributieleverancier.

Voor vertrouwde start-VM's:

  • Alle updates moeten in de juiste volgorde worden toegepast.

    Belangrijk

    Werk altijd de firmware voor beveiligd opstarten (UEFI-variabelen) bij voordat je de shim of bootloader bijwerkt.

  • Het is raadzaam om uw VM eerst opnieuw op te starten om te controleren of de nieuwste firmware wordt uitgevoerd en om te controleren of het opstarten geslaagd is.

  • Start updates vanuit het Linux-gast-VM-besturingssysteem waar nodig volgens de aanbevolen richtlijnen en hulpprogramma's van uw distributieleverancier.

  • Als u KEK- of DB-updatefouten tegenkomt en u niet eerst opnieuw hebt opgestart, start u uw VM opnieuw op om er zeker van te zijn dat de nieuwste firmware wordt uitgevoerd en probeert u de KEK en DB opnieuw bij te werken.

  • Als je de shim bijwerkt voordat je eerst de firmware bijwerkt, kan dit leiden tot een opstartfout.

Voor vertrouwelijke VM's:

Updates implementeren

Updates van Secure Boot-certificaten voor Linux op Azure-VM's worden gestart vanuit het gastbesturingssysteem. Deze updates verschillen per distributieleverancier en klanten moeten eerst bij hun distributieleverancier navragen wat de aanbevolen methode is.

Opmerking

  • Alleen de leveranciers van het Linux-besturingssysteem die richtlijnen voor het bijwerken van Secure Boot-certificaten hebben gepubliceerd, worden hier vermeld. Deze lijst wordt bijgewerkt wanneer meer leveranciers hun richtlijnen publiceren.
  • Als de leverancier van uw distributie niet wordt vermeld, betekent dit niet dat uw VM niet wordt beïnvloed. Het betekent dat de leverancier nog geen KEK- en DB-updaterichtlijnen voor beveiligd opstarten 2023 heeft gepubliceerd. Neem in dat geval contact op met uw distributieleverancier voor de aanbevolen methode of gebruik een van de hieronder beschreven handmatige alternatieve methoden voor firmware-updates .

Aanbevelingen van goedgekeurde leveranciers van Linux-besturingssystemen:

Aanbevelingen van Azure voor vertrouwelijke VM's:

  • Het aantal CVM's dat vóór april 2024 is gemaakt, is erg laag. Als uw vertrouwelijke VM een van de weinige is die niet over de nieuwe certificaten beschikt, volgt u de stappen om de CVM opnieuw te maken.

Alternatieve methoden voor firmware-updates

Opmerking

Voordat ze de updates van UEFI-variabelen rechtstreeks op productie-VM's proberen, kunnen klanten de sjabloon Snel starten van Azure gebruiken om de Linux Trusted Launch-VM te simuleren met oudere 2011 UEFI CA-certificaten.

Belangrijk

De methoden voor handmatige firmware-updates in deze sectie zijn een alternatief voor en sluiten elkaar wederzijds uit met de aanbevolen methodologie van uw distributieleverancier. Gebruik de methode van uw OS-leverancier wanneer er eerst een beschikbaar is (zie Aanbevelingen van leveranciers van het Linux-besturingssysteem). Gebruik de onderstaande handmatige methoden alleen wanneer uw leverancier geen richtlijnen heeft gepubliceerd of wanneer uw leverancier u daar expliciet opdracht toe geeft. Pas niet zowel de leveranciersmethode als een handmatige methode toe op dezelfde VM.  U hoeft slechts één alternatieve methode te gebruiken voor updates (fwupd, efitools of sbsigntools). U hoeft ze niet alle drie uit te voeren.  Elke Linux-distro verpakt verschillende tools en versies en via verschillende repositories, dus het is belangrijk om de aanwijzingen van je Linux-besturingssysteem te volgen.

Opmerking

De beschikbaarheid en versies van hulpprogramma's verschillen per distributie en per gereedschapsbron.

Alternatief 1: fwupd gebruiken

Zorg ervoor dat fwupd versie 2.0.8 of hoger op de VM is geïnstalleerd.

Als u zowel KEK als DB wilt bijwerken, voert u deze opdrachten uit met fwupdmgr:

Opmerking

  • sudo fwupdmgr refresh
  • sudo fwupdmgr update

Alternatief 2: efitools gebruiken

  • Download DB- en KEK-updatepakketten voor Azure.

    Opmerking

    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
  • Controleer de MD5 of SHA1 van de gedownloade binaire bestanden. Deze moeten exact overeenkomen met het volgende:

    Opmerking

    • sha1sum *.bin
    • 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
    • d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
    • md5sum *.bin
    • ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
    • 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
  • Gebruik efi-updatevar om de updatepakketten te installeren

    Opmerking

    • sudo efi-updatevar -a -f DBUpdate3P2023.bin db
    • sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
    • sudo reboot

Alternatief 3: sbsigntools gebruiken

  • Download en verifieer DBUpdate3P2023.bin en KEKUpdate_Microsoft_PK1.bin zoals beschreven in "Alternatief 2: efitools gebruiken" hierboven.

  • Gebruik het hulpprogramma sbkeysync van sbsigntools om de updatepakketten te installeren:

    Opmerking

    • sudo mkdir -p /etc/secureboot/keys/db
    • sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
    • sudo mkdir -p /etc/secureboot/keys/KEK
    • sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
    • sudo chattr -i /sys/firmware/efi/efivars/db-*
    • sudo chattr -i /sys/firmware/efi/efivars/KEK-*
    • sudo sbkeysync --verbose
    • sudo chattr +i /sys/firmware/efi/efivars/db-*
    • sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    • sudo reboot

Stappen om de procedure te beperken in geval van opstartfouten

In het geval van een foutscenario, zoals een opstartfout na een update van een variabele UEFI, kun je de UEFI-instellingen op een van de onderstaande manieren opnieuw instellen:

  1. Zet de back-up terug die is gemaakt voordat u het handmatige updateproces start.
  2. Converteer een VM met een vertrouwde start naar een standaard-VM en pas het beveiligingstype Vertrouwde start opnieuw toe op de VM. (Hier vindt u meer informatie: Vertrouwde lancering inschakelen op bestaande Gen2-VM's - Azure Virtuele Machines | Microsoft Learn)
  3. Exporteer de VHD van het besturingssysteem naar een opslagaccount, maak een galeriekopie van de VHD en implementeer de VM met behulp van de versie van de galerie-installatiekopie.

Disclaimerinformatie van derden

De producten van derden die in dit artikel worden besproken, worden ontwikkeld door bedrijven die losstaan van Microsoft. We geven geen garantie, impliciet of anderszins, over de prestaties of betrouwbaarheid van deze producten.

We bieden contactgegevens van derden om u te helpen technische ondersteuning te vinden. Deze contactgegevens kunnen zonder voorafgaande kennisgeving worden gewijzigd. We kunnen de juistheid van deze contactgegevens van derden niet garanderen.

Wijzigingenlogboek

Datum wijzigen Beschrijving van wijziging
29 juli 2026 Belangrijke revisies om duidelijkheid te scheppen over vereiste acties en alternatieve methoden voor firmware-updates.
18 juni 2026 Er zijn referentielinks toegevoegd aan de sectie "Aanbevelingen van leveranciers van Linux-besturingssystemen".