Uwaga
- Data pierwotnej publikacji: 12 czerwca 2026 r
- Identyfikator KB: 5103014
Uwaga
- Dotyczy:
- Maszyny wirtualne platformy Azure Trusted Launch i poufne maszyny wirtualne z systemem Linux z włączonym bezpiecznym rozruchem
- Aby uzyskać pełną listę obsługiwanych systemów operacyjnych na potrzeby zaufanego uruchamiania, zobacz ten link: Zaufane uruchamianie maszyn wirtualnych Azure — Azure Virtual Machines | Microsoft Learn
- Aby uzyskać pełną listę obsługiwanych systemów operacyjnych dla poufnych maszyn wirtualnych, zobacz ten link: Informacje o poufnych maszynach wirtualnych platformy Azure | Microsoft Learn
W tym artykule
Wprowadzenie
Bezpieczny rozruch to funkcja zabezpieczeń oprogramowania układowego UEFI, która pomaga zapewnić, że tylko zaufane, podpisane cyfrowo oprogramowanie będzie uruchamiane podczas sekwencji rozruchu maszyny wirtualnej. Certyfikaty bezpiecznego rozruchu firmy Microsoft wydane w 2011 r. zaczynają wygasać w czerwcu 2026 r.
Aby utrzymać ochronę bezpiecznego rozruchu i kontynuować obsługę procesu wczesnego rozruchu, zaufane uruchamianie platformy Azure z systemem Linux musi zostać zaktualizowane o certyfikaty bezpiecznego rozruchu 2023 DB i KEK w wirtualnym oprogramowaniu sprzętowym UEFI. Należy ponownie utworzyć poufne maszyny wirtualne dla systemu Linux na platformie Azure ze starszymi certyfikatami.
Jeśli maszyna wirtualna nadal korzysta z certyfikatów z wersji 2011 po wygaśnięciu, nadal będzie się uruchamiać. Nie będzie on jednak już otrzymywał nowych zabezpieczeń w postaci aktualizacji podkładek oraz przyszłych certyfikatów i odwołań. Klienci z maszynami wirtualnymi, które nie mają zaktualizowanych certyfikatów, powinni nadal współpracować z dostawcami dystrybucji w celu zaktualizowania certyfikatów nawet po dacie wygaśnięcia.
Identyfikowanie scenariuszy wymagających działania
Zapoznaj się z poniższymi scenariuszami, aby określić, czy wymagane jest podjęcie działania:
- Zaufane maszyny wirtualne uruchamiania systemu Linux (TVM) lub poufne maszyny wirtualne (CVM) utworzone przed kwietniem 2024 r.
- Obrazy z galerii obliczeń platformy Azure przechwycone ze starszych (sprzed kwietnia 2024 r.) maszyn wirtualnych systemu Linux, zaufanego uruchamiania lub poufnych
- Migawki lub kopie zapasowe maszyn wirtualnych systemu Linux Trusted Launch lub Confidential VMs utworzonych przed kwietniem 2024 r.
- Poufne maszyny wirtualne utworzone przed kwietniem 2024 r. z obiektów blob zaimportowanych jako bezpieczny dysk.
Zaufane uruchamianie i poufne maszyny wirtualne utworzone po kwietniu 2024 r. zazwyczaj zawierają już certyfikaty bezpiecznego rozruchu 2023 w wirtualnym oprogramowaniu układowym UEFI.
Uwaga
Poufne maszyny wirtualne systemu Linux utworzone przed kwietniem 2024 r. nie powinny być aktualizowane ręcznie, ponieważ poufne szyfrowanie dysku opiera się na wartości PCR7 vTPM, która jest obliczana na podstawie zmiennych bezpiecznego rozruchu. Aktualizacja certyfikatów bezpiecznego rozruchu bez upewnienia się, że klucz FDE ponownie zapieczętował, spowoduje, że poufna maszyna wirtualna przejdzie w tryb odzyskiwania. Zaleca się ponowne utworzenie takich starych poufnych maszyn wirtualnych w celu uzyskania nowych certyfikatów.
Zagadnienia dotyczące maszyny wirtualnej gościa platformy Azure
Aktualizacje bezpiecznego rozruchu dla systemu Linux na maszynach wirtualnych platformy Azure obejmują dwa składniki:
- Certyfikaty bezpiecznego rozruchu w wirtualnym oprogramowaniu sprzętowym (instalowane ręcznie za pomocą narzędzi dostarczonych przez system operacyjny lub automatycznie za pośrednictwem aktualizacji zabezpieczeń)
- Aktualizacje podkładki i bootloadera systemu Linux (zarządzane przez dostawcę dystrybucji)
Operacje aktualizacji są inicjowane z poziomu systemu operacyjnego gościa i polegają na obsłudze platformy w celu stosowania uwierzytelnionych aktualizacji do zmiennych bezpiecznego rozruchu.
Po zidentyfikowaniu odpowiednich scenariuszy przeprowadź inwentaryzację środowiska, aby określić, które maszyny wirtualne wymagają aktualizacji.
Wymagane działania
Dla wszystkich maszyn wirtualnych gości platformy Azure:
- Sprawdź, czy certyfikaty bezpiecznego rozruchu 2023 są obecne w wirtualnym oprogramowaniu układowym UEFI
Metody weryfikacji
Uruchom te polecenia po aktualizacji i ponownym uruchomieniu. Na pomyślnie zaktualizowanej maszynie wirtualnej każde polecenie zwraca pasujący wiersz. Jeśli polecenie nie zwraca żadnych danych wyjściowych, odpowiedni certyfikat z 2023 r. nie jest obecny, a aktualizacja nie została zastosowana — przed zastosowaniem ponownie sprawdź kroki aktualizacji.
Zarówno testy DB, jak i KEK muszą zwrócić wiersz. Pomyślnie zaktualizowana maszyna pokazuje certyfikat DB 2023 i certyfikat KEK 2023.
Używanie programu mokutil
Uwaga
- mokutil --db | grep "UEFI CA 2023"
- CN = Microsoft UEFI CA 2023
- mokutil --kek | grep "KEK 2K CA 2023"
- CN = Microsoft Corporation KEK 2K CA 2023
Korzystanie z narzędzi elektronicznych
Uwaga
- efi-readvar -v db | grep "UEFI CA 2023"
- Microsoft UEFI CA 2023
- efi-readvar -v KEK | grep "KEK 2K CA 2023"
- Microsoft Corporation KEK 2K CA 2023
Uwaga
- Jeśli 'mokutil' nie jest zainstalowany, zainstaluj go ze standardowych repozytoriów swojej dystrybucji lub użyj zamiast tego 'efi-readvar -v db` / `efi-readvar -v KEK'.
- W przypadku poufnych maszyn wirtualnych nie uruchamiaj aktualizacji ręcznej na podstawie tych danych wyjściowych — utwórz ponownie maszynę wirtualną zgodnie z opisem w Zaleceniach platformy Azure dla poufnych maszyn wirtualnych.
Aktualizacja łańcucha rozruchu systemu Linux
Po pomyślnej aktualizacji oprogramowania układowego można bezpiecznie zastosować aktualizacje podkładek od dostawców dystrybucji systemu Linux.
Inne zagadnienia dotyczące zasobów platformy Azure
| Zasób platformy Azure | Utworzony przed kwietniem 2024 r. | Wymagana akcja dla TVM | Wymagane działanie w przypadku MWiW |
|---|---|---|---|
| Kopia zapasowa/migawka | Tak | Rozruch maszyny wirtualnej, stosowanie aktualizacji, przechwytywanie | Odtworzenie MWiW, ponowne przechwytywanie |
| Kopia zapasowa/migawka | Nie | Nie jest wymagane żadne działanie | Nie jest wymagane żadne działanie |
| Obraz galerii obliczeń | Tak | Wdrażanie, aktualizowanie, przechwytywanie | Odtworzenie MWiW, ponowne przechwytywanie |
| Obraz galerii obliczeń | Nie | Nie jest wymagane żadne działanie | Nie jest wymagane żadne działanie |
Monitorowanie stanu aktualizacji
Sprawdź aktualizacje za pośrednictwem systemu operacyjnego gościa:
- Sprawdzanie poprawności rozruchu po aktualizacjach
- Potwierdź, że w oprogramowaniu układowym są obecne certyfikaty bezpiecznego rozruchu
Metody monitorowania i sprawdzania poprawności mogą się różnić w zależności od dystrybucji systemu Linux, dlatego należy skontaktować się z dostawcą dystrybucji.
W przypadku maszyn wirtualnych zaufanego uruchamiania:
Wszystkie aktualizacje muszą być stosowane w poprawnej kolejności.
Ważne
Zawsze aktualizuj oprogramowanie układowe bezpiecznego rozruchu (zmienne UEFI) przed aktualizacją podkładki lub bootloadera.
Zalecane jest ponowne uruchomienie maszyny wirtualnej, aby upewnić się, że jest na niej uruchomione najnowsze oprogramowanie układowe i sprawdzić, czy rozruch się powiódł.
Zainicjuj aktualizacje z poziomu systemu operacyjnego maszyny wirtualnej gościa systemu operacyjnego Linux, jeśli jest to wymagane, zgodnie z zalecanymi wskazówkami i narzędziami dostawcy dystrybucji.
Jeśli wystąpią błędy aktualizacji KEK lub DB i nie wykonano najpierw ponownego uruchomienia, uruchom ponownie maszynę wirtualną, aby upewnić się, że ma najnowsze oprogramowanie układowe, a następnie spróbuj ponownie zaktualizować KEK i bazę danych.
Aktualizacja podkładki przed zaktualizowaniem oprogramowania układowego może spowodować błąd rozruchu.
W przypadku poufnych maszyn wirtualnych:
- Większość poufnych maszyn wirtualnych ma już nowe certyfikaty. W przypadku poufnych maszyn wirtualnych bez certyfikatów bezpiecznego rozruchu 2023 postępuj zgodnie ze wskazówkami poniżej w sekcji Zalecenia platformy Azure dotyczące poufnych maszyn wirtualnych.
Wdrażanie aktualizacji
Aktualizacje certyfikatu bezpiecznego rozruchu dla systemu Linux na maszynach wirtualnych platformy Azure są inicjowane z poziomu systemu operacyjnego gościa. Aktualizacje te różnią się w zależności od dostawcy dystrybucji i klienci powinni najpierw skontaktować się z dostawcą dystrybucji w sprawie zalecanej metody.
Uwaga
- Wymienieni są tutaj tylko dostawcy systemów operacyjnych Linux, którzy opublikowali wskazówki dotyczące aktualizacji certyfikatu bezpiecznego rozruchu. Ta lista jest aktualizowana w miarę publikowania wytycznych przez innych dostawców.
- Jeśli dostawcy Twojej dystrybucji nie ma na liście, nie oznacza to, że nie ma to wpływu na Twoją maszynę wirtualną — oznacza to, że dostawca nie opublikował jeszcze wskazówek dotyczących aktualizacji KEK i DB bezpiecznego rozruchu 2023. W takim przypadku skontaktuj się z dostawcą dystrybucji w celu uzyskania zalecanej metody lub użyj jednej z ręcznych alternatywnych metod aktualizacji oprogramowania układowego opisanych poniżej.
Zalecenia od zatwierdzonych dostawców systemów operacyjnych Linux:
- Azure Linux (CBL-Mariner) — przejdź na Azure Linux 3 lub nowszy
- AlmaLinux — bezpieczny rozruch UEFI: wiki przejścia certyfikatu Microsoft 2023
- Debian - Zmiany w Bezpiecznym Urzędzie Certyfikacji (Secure Boot CA) Wiki
- Red Hat (RHEL) — jak używać fwupd do rejestrowania certyfikatu Microsoft UEFI CA 2023 KB
- Ubuntu — Microsoft UEFI CA rotation Dyskusja społeczności
Zalecenia platformy Azure dotyczące poufnych maszyn wirtualnych:
- Liczba CVM utworzonych przed kwietniem 2024 r. jest bardzo niska. Jeśli poufna maszyna wirtualna jest jedną z niewielu, która nie ma nowych certyfikatów, wykonaj procedurę ponownego tworzenia CVM.
Alternatywne metody aktualizacji oprogramowania układowego
Uwaga
Przed wypróbowaniem aktualizacji zmiennych UEFI bezpośrednio na produkcyjnych maszynach wirtualnych klienci mogą użyć szablonu Szybki start platformy Azure, aby zasymulować maszynę wirtualną Trusted Launch systemu Linux ze starszymi certyfikatami UC UEFI 2011.
Ważne
Metody ręcznej aktualizacji oprogramowania układowego przedstawione w tej sekcji stanowią alternatywę dla metodologii zalecanej przez dostawcę dystrybucji i wzajemnie się z nią wykluczają. Użyj metody dostawcy systemu operacyjnego, gdy tylko jest ona dostępna jako pierwsza (zobacz Zalecenia dostawców systemów operacyjnych dla systemu operacyjnego Linux). Poniższe metody ręczne należy stosować tylko wtedy, gdy dostawca nie opublikował wytycznych lub gdy dostawca wyraźnie Ci to poleca. Nie stosuj zarówno metody dostawcy, jak i metody ręcznej do tej samej maszyny wirtualnej. Wystarczy użyć tylko jednej, alternatywnej metody aktualizacji (fwupd, efitools lub sbsigntools) — nie jest konieczne uruchamianie wszystkich trzech. Każda dystrybucja systemu Linux pakuje różne narzędzia i wersje oraz za pośrednictwem różnych repozytoriów, dlatego ważne jest, aby postępować zgodnie ze wskazówkami dostarczonymi przez system operacyjny Linux.
Uwaga
Dostępność i wersje narzędzi różnią się w zależności od dystrybucji i źródła narzędzi.
Alternatywa 1: Za pomocą narzędzia fwupd
Upewnij się, że maszyna wirtualna ma zainstalowany program fwupd w wersji 2.0.8 lub nowszej.
Aby zaktualizować zarówno klucz KEK, jak i bazę danych, uruchom następujące polecenia za pomocą polecenia fwupdmgr:
Uwaga
- sudo fwupdmgr refresh
- sudo fwupdmgr update
Alternatywa 2: Korzystanie z narzędzi efitools
Pobierz pakiety aktualizacji baz danych i KEK dla platformy Azure.
Uwaga
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Sprawdź MD5 lub SHA1 pobranych plików binarnych — powinny dokładnie odpowiadać następującym:
Uwaga
- sha1sum *.bin
- 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
- d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
- md5sum *.bin
- ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
- 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
Użycie zmiennej efi-updatevar do zainstalowania pakietów aktualizacji
Uwaga
- sudo efi-updatevar -a -f DBUpdate3P2023.bin db
- sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
- sudo reboot
Alternatywa 3: Za pomocą narzędzia sbsigntools
Pobierz i zweryfikuj DBUpdate3P2023.bin zgodnie KEKUpdate_Microsoft_PK1.bin z opisem w "Alternatywa 2: Korzystanie z efitools" powyżej.
Użyj narzędzia sbkeysync z sbsigntools, aby zainstalować pakiety aktualizacji:
Uwaga
- sudo mkdir -p /etc/secureboot/keys/db
- sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
- sudo mkdir -p /etc/secureboot/keys/KEK
- sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
- sudo chattr -i /sys/firmware/efi/efivars/db-*
- sudo chattr -i /sys/firmware/efi/efivars/KEK-*
- sudo sbkeysync --verbose
- sudo chattr +i /sys/firmware/efi/efivars/db-*
- sudo chattr +i /sys/firmware/efi/efivars/KEK-*
- sudo reboot
Kroki ograniczające ryzyko w przypadku błędów rozruchu
W przypadku scenariusza awarii, takiego jak błąd rozruchu po aktualizacji zmiennej UEFI, można zresetować ustawienia UEFI przy użyciu jednej z poniższych metod:
- Przywróć kopię zapasową wykonaną przed rozpoczęciem procesu aktualizacji ręcznej.
- Przekonwertuj zaufaną maszynę wirtualną na standardową maszynę wirtualną i ponownie zastosuj typ zabezpieczeń zaufanego uruchamiania na maszynie wirtualnej. (Więcej szczegółów tutaj: Włączanie zaufanego uruchamiania na istniejących maszynach wirtualnych Gen2 — Azure Virtual Machines | Microsoft Learn)
- Wyeksportuj wirtualny dysk twardy systemu operacyjnego na konto magazynu, utwórz obraz galerii na podstawie wirtualnego dysku twardego i wdróż maszynę wirtualną przy użyciu wersji obrazu galerii .
Zastrzeżenie dotyczące innych firm
Produkty innych firm omawiane w tym artykule są tworzone przez firmy niezależne od firmy Microsoft. Nie udzielamy żadnych gwarancji, dorozumianych lub innych, dotyczących wydajności lub niezawodności tych produktów.
Udostępnimy informacje kontaktowe innych firm ułatwiające znajdowanie pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Nie gwarantujemy, że podane informacje kontaktowe innych firm są dokładne.
Dziennik zmian
| Zmień datę | Opis zmiany |
|---|---|
| 29 lipca 2026 r | Wprowadzono główne zmiany w celu wyjaśnienia wymaganych działań i alternatywnych metod aktualizacji oprogramowania układowego. |
| 18 czerwca 2026 r | Linki referencyjne zostały dodane do sekcji "Zalecenia od dostawców systemów operacyjnych Linux". |