Atualizações de certificado de Inicialização Segura para máquinas virtuais do Linux no Azure

Aplica-se a
Virtual Machine running Linux

Observação

  • Data de publicação original: 12 de junho de 2026
  • ID da base de dados: 5103014

Observação

Neste artigo

Introdução

A Inicialização Segura é um recurso de segurança de firmware UEFI que ajuda a garantir que apenas software confiável e assinado digitalmente seja executado durante a sequência de inicialização da VM. Os certificados de Inicialização Segura da Microsoft emitidos em 2011 começam a expirar em junho de 2026.

Para manter a proteção de Inicialização Segura e a manutenção contínua do processo de inicialização inicial, o Lançamento Confiável do Azure executando o Linux deve ser atualizado com o DB de Inicialização Segura 2023 e certificados KEK no firmware UEFI virtual. As Máquinas Virtuais Confidenciais para Linux no Azure com certificados antigos devem ser recriadas.

Se uma VM continuar a depender dos certificados de 2011 após a expiração, ela continuará a inicializar. No entanto, ele não receberá mais novas proteções de segurança na forma de atualizações de shim e certificados e revogações futuras. Os clientes com VMs que não têm certificados atualizados devem continuar a trabalhar com seus fornecedores de distribuição para atualizar seus certificados mesmo após a data de expiração.

Identificar cenários que exigem ação

Examine os seguintes cenários para determinar se uma ação é necessária:

  • VMs de Inicialização Confiável (TVM) ou VMs Confidenciais (CVM) do Linux criadas antes de abril de 2024
  • Imagens da Galeria de Computação do Azure capturadas de VMs mais antigas (anteriores a abril de 2024) do Linux ou VMs Confidenciais
  • Instantâneos ou backups de VMs de Lançamento Confiável do Linux ou Confidenciais criados antes de abril de 2024
  • VMs confidenciais criadas antes de abril de 2024 a partir de blobs, importadas como disco seguro.

O Lançamento Confiável e as Máquinas Virtuais Confidenciais criadas após abril de 2024 normalmente já incluem certificados de Inicialização Segura 2023 no firmware UEFI virtual.

Observação

As VMs confidenciais do Linux criadas antes de abril de 2024 não devem ser atualizadas manualmente, pois a Criptografia de Disco Confidencial depende do valor PCR7 do vTPM, que é calculado com base nas variáveis de inicialização segura. Atualizar os certificados de inicialização segura sem garantir a nova vedação da chave FDE fará com que a VM confidencial entre no modo de recuperação. É recomendável recriar essas VMs confidenciais antigas para obter os novos certificados.

Considerações sobre a VM convidada do Azure

As atualizações de Inicialização Segura para Linux em VMs do Azure envolvem dois componentes:

  • Certificados de Inicialização Segura no firmware virtual (instalados manualmente por meio das ferramentas fornecidas pelo sistema operacional ou automaticamente por meio de atualizações de segurança)
  • Atualizações do carregador de inicialização e shim do Linux (gerenciado pelo fornecedor da distro)

As operações de atualização são iniciadas a partir do sistema operacional convidado e dependem do suporte da plataforma para aplicar atualizações autenticadas às variáveis de Inicialização Segura.

Depois de identificar os cenários aplicáveis, faça um inventário do ambiente para determinar quais VMs exigem atualizações.

Ações necessárias

Para todas as VMs convidadas do Azure:

  • Verifique se os certificados Secure Boot 2023 estão presentes no firmware UEFI virtual

Métodos de verificação

Execute esses comandos após a atualização e reinicialize. Em uma VM atualizada com êxito , cada comando retorna uma linha correspondente. Se um comando não retornar nenhuma saída, o certificado 2023 correspondente não estará presente e a atualização não foi aplicada. marcar novamente as etapas de atualização antes de aplicar.

As verificações DB e KEK devem retornar uma linha. Um computador atualizado com êxito mostra o certificado DB 2023 e o certificado KEK 2023.

Usando mokutil

Observação

  • mokutil --db | grep "UEFI CA 2023"
  • CN = Microsoft UEFI CA 2023
  • mokutil --kek | grep "KEK 2K CA 2023"
  • CN = Microsoft Corporation KEK 2K CA 2023

Usando efitools

Observação

  • efi-readvar -v db | grep "UEFI CA 2023"
  • Microsoft UEFI CA 2023
  • efi-readvar -v KEK | grep "KEK 2K CA 2023"
  • Microsoft Corporation KEK 2K CA 2023

Observação

  • Se 'mokutil' não estiver instalado, instale-o a partir dos repositórios padrão de sua distribuição ou use 'efi-readvar -v db` / `efi-readvar -v KEK' em vez disso.
  • Para VMs confidenciais, não execute uma atualização manual com base nessa saída — recrie a VM conforme descrito nas Recomendações do Azure para VMs confidenciais.

Atualização da cadeia de inicialização do Linux

Após a atualização bem-sucedida do firmware, é seguro aplicar atualizações de shim dos fornecedores de distribuição do Linux.

Outras considerações sobre recursos do Azure

Recurso do Azure Criado antes de abril de 2024 Ação necessária para TVM Ação necessária para a CVM
Backup/snapshot Sim Inicializar VM, aplicar atualizações, recapturar Recriar o CVM, recapturar
Backup/snapshot Não Nenhuma ação necessária. Nenhuma ação necessária.
Imagem da Galeria de Computação Sim Implantar, atualizar, recapturar Recriar o CVM, recapturar
Imagem da Galeria de Computação Não Nenhuma ação necessária. Nenhuma ação necessária.

Monitorar o status de atualização

Verifique as atualizações por meio do sistema operacional convidado:

  • Validar inicialização bem-sucedida após atualizações
  • Confirme se os certificados de Inicialização Segura estão presentes no firmware

As abordagens de monitoramento e validação podem variar de acordo com a distribuição do Linux, e você deve marcar com seu fornecedor de distribuição.

Para VMs de Inicialização Confiáveis:

  • Todas as atualizações devem ser aplicadas na ordem correta.

    Importante

    Sempre atualize o firmware de Inicialização Segura (variáveis UEFI) antes de atualizar o shim ou o carregador de inicialização.

  • É recomendável reiniciar sua VM primeiro para garantir que ela esteja executando o firmware mais recente e verificar uma inicialização bem-sucedida.

  • Inicie atualizações de dentro do sistema operacional da VM convidada do Linux, quando necessário, de acordo com as orientações e ferramentas recomendadas pelo fornecedor da sua distribuição.

  • Se você se deparar com falhas de atualização de KEK ou de banco de dados e não tiver reiniciado primeiro, reinicie a VM para verificar se ela está executando o firmware mais recente e tente atualizar a KEK e o banco de dados novamente.

  • Atualizar o shim antes de atualizar o firmware primeiro pode resultar em uma falha de inicialização.

Para VMs confidenciais:

Implantar atualizações

As atualizações de certificado de Inicialização Segura para Linux em VMs do Azure são iniciadas a partir do sistema operacional convidado. Essas atualizações variam de acordo com os fornecedores da distribuição, e os clientes devem primeiro marcar com o fornecedor da distribuição o método recomendado.

Observação

  • Somente os fornecedores do sistema operacional Linux que publicaram orientações de atualização de certificado de Inicialização Segura estão listados aqui. Essa lista é atualizada à medida que outros fornecedores publicam suas orientações.
  • Se o fornecedor da sua distribuição não estiver listado, isso não significa que sua VM não foi afetada - isso significa que o fornecedor ainda não publicou as diretrizes de atualização do KEK e do Banco de Dados de inicialização segura 2023. Nesse caso, entre em contato com o fornecedor da distribuição para obter o método recomendado ou use um dos métodos manuais de atualização de firmware alternativos descritos abaixo.

Recomendações de fornecedores de sistema operacional Linux aprovados:

Recomendações do Azure para VMs confidenciais:

  • O número de CVMs criados antes de abril de 2024 é muito baixo. Se sua VM Confidencial for uma das poucas que não possui os novos certificados, siga as etapas para recriar a CVM.

Métodos alternativos de atualização de firmware

Observação

Antes de experimentar as atualizações de variáveis UEFI diretamente nas VMs de produção, os clientes podem utilizar o modelo de início rápido do Azure para simular a VM de Inicialização Confiável do Linux com certificados CA UEFI 2011 mais antigos.

Importante

Os métodos de atualização manual de firmware nesta seção são uma alternativa e são mutuamente exclusivos à metodologia recomendada pelo fornecedor de distribuição. Use o método do fornecedor do seu sistema operacional sempre que um estiver disponível primeiro (consulte Recomendações de fornecedores do sistema operacional Linux). Use os métodos manuais abaixo somente quando o fornecedor não tiver publicado orientações ou quando ele o direcionar explicitamente para isso. Não aplique o método do fornecedor e um método manual à mesma VM.  Você só precisa usar um método alternativo para atualizações (fwupd, efitools ou sbsigntools) — não é necessário executar todos os três.  Cada distribuição do Linux empacota diferentes ferramentas e versões e por meio de repositórios diferentes, por isso é importante seguir as instruções fornecidas pelo seu sistema operacional Linux.

Observação

A disponibilidade e as versões da ferramenta diferem de acordo com a distribuição e a fonte da ferramenta.

Alternativa 1: usando o fwupd

Certifique-se de que a VM tenha o fwupd versão 2.0.8 ou posterior instalado.

Para atualizar o KEK e o DB, execute estes comandos com fwupdmgr:

Observação

  • sudo fwupdmgr refresh
  • sudo fwupdmgr update

Alternativa 2: Usando efitools

  • Baixe os pacotes de atualização do DB e do KEK para o Azure.

    Observação

    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
  • Verifique o MD5 ou SHA1 dos binários baixados — eles devem corresponder exatamente ao seguinte:

    Observação

    • sha1sum *.bin
    • 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
    • d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
    • md5sum *.bin
    • ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
    • 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
  • Use efi-updatevar para instalar os pacotes de atualização

    Observação

    • sudo efi-updatevar -a -f DBUpdate3P2023.bin db
    • sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
    • sudo reboot

Alternativa 3: Usando sbsigntools

  • Baixe e verifique DBUpdate3P2023.bin conforme KEKUpdate_Microsoft_PK1.bin descrito na "Alternativa 2: Usando efitools" acima.

  • Use o utilitário sbkeysync do sbsigntools para instalar os pacotes de atualização:

    Observação

    • sudo mkdir -p /etc/secureboot/keys/db
    • sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
    • sudo mkdir -p /etc/secureboot/keys/KEK
    • sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
    • sudo chattr -i /sys/firmware/efi/efivars/db-*
    • sudo chattr -i /sys/firmware/efi/efivars/KEK-*
    • sudo sbkeysync --verbose
    • sudo chattr +i /sys/firmware/efi/efivars/db-*
    • sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    • sudo reboot

Etapas de mitigação em caso de falhas de inicialização

No caso de um cenário de falha, como falha de inicialização após a atualização da variável UEFI, você pode redefinir as configurações de UEFI usando um dos métodos abaixo:

  1. Restaure o backup feito antes de iniciar o processo de atualização manual.
  2. Converta a VM de Inicialização Confiável em VM Standard e reaplique o tipo de segurança de Inicialização Confiável na VM. (Mais detalhes aqui: Habilitar inicialização confiável em VMs Gen2 existentes - Azure Máquinas Virtuais | Microsoft Learn)
  3. Exporte o vhd do sistema operacional para uma conta de armazenamento, crie uma imagem da galeria do vhd e implante a VM usando a versão da imagem da galeria .

Aviso de isenção de responsabilidade para informações de terceiros

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. Não oferecemos nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.

Fornecemos informações de contato de terceiros para ajudá-lo a encontrar suporte técnico. Essas informações de contato podem ser alteradas sem aviso prévio. Não garantimos a precisão dessas informações para contato com outras empresas.

Log de mudanças

Data da alteração Alterar descrição
29 de julho de 2026 Principais revisões para adicionar clareza às ações necessárias e métodos alternativos de atualização de firmware.
18 de junho de 2026 Links de referência foram adicionados à seção "Recomendações de fornecedores do sistema operacional Linux".