Velja za
Virtual Machine running Linux

Izvirni datum objave: 12. junij 2026

ID zbirke znanja: 5103014

Velja za:

Navidezni računalniki Azure Trusted Launch in zaupni navidezni računalniki s sistemom Linux z omogočenim varnim zagonom

Celoten seznam podprtih operacijskih sistemov za zaupanja vreden zagon najdete na tej povezavi: Zaupanja vreden zagon za navidezne računalnike Azure – navidezni računalniki Azure | Microsoft Learn

Celoten seznam podprtih operacijskih sistemov za zaupne navidezne računalnike najdete na tej povezavi: Več informacij o zaupnih navideznih računalnikih Azure | Microsoft Learn

V tem članku

Uvod

Varni zagon je varnostna funkcija vdelane programske opreme vmesnika UEFI, ki pomaga zagotoviti, da se med zaporedjem zagona navideznega računalnika izvaja le zaupanja vredna, digitalno podpisana programska oprema. Potrdila za Microsoftov varni zagon, izdana v letu 2011, začnejo potekati junija 2026. 

Če želite ohraniti zaščito varnega zagona in nadaljevati servisiranje postopka zgodnjega zagona, je treba zaupanja vreden zagon Azure z nameščenim sistemom Linux posodobiti s potrdili Secure Boot 2023 DB in KEK v navidezni vdelani programski opremi UEFI. Zaupne navidezne računalnike za Linux v storitvi Azure s starimi potrdili je treba ustvariti znova. 

Če navidezni računalnik po poteku še naprej temelji na potrdilih 2011, se bo še vedno zagnal. Vendar pa ne bo več prejemal novih varnostnih zaščit v obliki posodobitev vmesnih nastavitev ter prihodnjih potrdil in preklicev. Stranke z navideznimi računalniki, ki nimajo posodobljenih potrdil, morajo še naprej sodelovati s ponudniki distribucij, da posodobijo svoja potrdila tudi po datumu poteka.

Prepoznavanje scenarijev, za katere je treba izvesti dejanja 

Preglejte spodnje scenarije in ugotovite, ali morate ukrepati: 

  • Zaupanja vredni začetni navidezni računalniki za Linux (TVM) ali zaupni navidezni računalniki (CVM), ustvarjeni pred aprilom 2024

  • Slike v galeriji izračunov Azure, zajete iz starejših (pred aprilom 2024) zaupanja vrednega zagona za Linux ali zaupnih navideznih računalnikov

  • Posnetki ali varnostne kopije zaupanja vrednih zagonskih ali zaupnih navideznih računalnikov za Linux, ustvarjenih pred aprilom 2024

  • Zaupni navidezni računalniki, ustvarjeni pred aprilom 2024 iz zbirk dvojiških podatkov, uvoženi kot varen disk.

Trusted Launch in Zaupni navidezni računalniki, ustvarjeni po aprilu 2024, običajno že vključujejo potrdila za varni zagon 2023 v navidezni vdelani programski opremi UEFI.

Opomba: Zaupnih navideznih računalnikov s sistemom Linux, ustvarjenih pred aprilom 2024, ne smete ročno posodabljati, saj zaupno šifriranje diska temelji na vrednosti PCR7 modula vTPM, ki je izračunana na podlagi spremenljivk varnega zagona. Če posodobite potrdila za varni zagon, ne da bi zagotovili ponovno zapečatenje ključa FDE, zaupni navidezni računalnik preide v način obnovitve. Priporočljivo je, da znova ustvarite takšne stare zaupne navidezne računalnike, da dobite nova potrdila.

Kaj je treba upoštevati za gostujoči navidezni računalnik Azure 

Posodobitve varnega zagona za Linux v navideznih računalnikih Azure vključujejo dve komponenti: 

  • Potrdila za varni zagon v navidezni vdelani programski opremi (nameščena ročno prek orodja, ki je na voljo z operacijskim sistemom, ali samodejno prek varnostnih posodobitev)

  • Posodobitve vmesne in nalagalnika zagona za Linux (upravlja dobavitelj distribucije)

Postopki posodabljanja se začnejo v gostujočem operacijskem sistemu in temeljijo na podpori platforme, da za uporabo posodobitev s preverjeno pristnostjo za spremenljivke varnega zagona. 

Ko ugotovite primere, ki se upoštevujejo, inventarizirajte svoje okolje, da ugotovite, kateri navidezni računalniki potrebujejo posodobitve. 

Obvezni ukrepi 

Za vse gostujoče navidezne računalnike Azure:

  • Preverite, ali so potrdila za varni zagon 2023 prisotna v navidezni vdelani programski opremi vmesnika UEFI

Načini preverjanja 

Po posodobitvi in ponovnem zagonu zaženite te ukaze. V uspešno posodobljenem navideznem računalniku vsak ukaz vrne ustrezno vrstico. Če ukaz ne vrne nobenega izhoda, ustrezno potrdilo 2023 ni na voljo in posodobitev ni bila uporabljena – pred uporabo znova preverite korake posodobitve. 

Tako preverjanja DB kot tudi KEK morata vrniti vrstico. Uspešno posodobljen računalnik prikaže potrdilo 2023 DB in 2023 KEK potrdilo

Uporaba mokutil 

  • Mokutil --DB | grep "UEFI CA 2023"

  • CN = Microsoft UEFI CA 2023

  • Mokutil --KEK | grep "KEK 2K CA 2023"

  • CN = Microsoft Corporation KEK 2K, CA 2023

Uporaba orodja efitools 

  • efi-readvar -v db | grep "UEFI CA 2023"

  • Microsoft UEFI CA 2023

  • efi-readvar -v KEK | grep "KEK 2K CA 2023"

  • Microsoft Corporation KEK 2K CA 2023

Opombe: 

  • Če 'mokutil' ni nameščen, ga namestite iz standardnih skladišč vaše distribucije ali pa namesto tega uporabite 'efi-readvar -v db' / 'efi-readvar -v KEK'.

  • Za zaupne navidezne računalnike ne zaženite ročne posodobitve na podlagi tega rezultata – znova ustvarite navidezni računalnik, kot je opisano v priporočilih storitve Azure za zaupne navidezne računalnike.

Posodobitev verige zagona sistema Linux 

Po uspešni posodobitvi vdelane programske opreme je varno uporabiti posodobitve vmesne programske opreme pri dobaviteljih distribucije Linux. 

Druga priporočila glede virov storitve Azure

Vir Azure

Ustvarjeno pred aprilom 2024

Dejanje, zahtevano za TVM

Dejanje, zahtevano za CVM

Varnostna kopija/posnetek

Da

Zagon navideznega računalnika, uporaba posodobitev, vnovičen zajem

Ponovno ustvarite CVM, znova zajemite

Varnostna kopija/posnetek

Ne

Zahtevano ni nobeno dejanje

Zahtevano ni nobeno dejanje

Compute Gallery image

Da

Uvajanje, posodabljanje, vnovični zajem

Ponovno ustvarite CVM, znova zajemite

Compute Gallery image

Ne

Zahtevano ni nobeno dejanje

Zahtevano ni nobeno dejanje

Nadzor stanja posodobitev 

Preverite posodobitve v gostujočem operacijskem sistemu: 

  • Preverite uspešen zagon po posodobitvah

  • Potrdite, da so v vdelani programski opremi prisotna potrdila za varni zagon

Pristopi k spremljanju in preverjanju veljavnosti se lahko razlikujejo glede na distribucijo Linux, zato se morate obrniti na svojega dobavitelja distribucije. 

Za zaupanja vredne navidezne računalnike za zagon:

  • Vse posodobitve morajo biti uvedene v pravilnem vrstnem redu.

    Pomembno: Pred posodobitvijo vmesne posodobitve ali nalagalnika zagona vedno posodobite vdelano programsko opremo varnega zagona (spremenljivke UEFI). 

  • Priporočljivo je, da navidezni računalnik najprej znova zaženete, da se prepričate, da je v njem nameščena najnovejša vdelana programska oprema, in preverite, ali je bil zagon uspešen.

  • Po potrebi sprožite posodobitve v operacijskem sistemu gostujočega navideznega računalnika Linux v skladu s priporočenimi navodili in orodji prodajalca.

  • Če pride do napak pri posodabljanju KEK ali DB in niste prej izvedli ponovnega zagona, znova zaženite navidezni računalnik in se prepričajte, da je v njem nameščena najnovejša vdelana programska oprema, ter poskusite znova posodobiti KEK in DB.

  • Če pred prvo posodobitvijo vdelane programske opreme posodobite vstavitev, lahko pride do napake pri zagonu.

Za zaupne navidezne računalnike:

Uvajanje posodobitev 

Posodobitve potrdil za varni zagon za Linux v navideznih računalnikih Azure se sprožijo znotraj gostujočega operacijskega sistema. Te posodobitve se razlikujejo glede na prodajalce distribucij, zato se morajo stranke najprej posvetovati s svojim dobaviteljem distribucije glede priporočenega načina.  

Opombe: 

  • Tukaj so navedeni le ponudniki operacijskega sistema Linux, ki so objavili navodila za posodobitev potrdila za varni zagon. Ta seznam se posodablja, ko novi dobavitelji objavijo svoja navodila.

  • Če dobavitelja vaše distribucije ni na seznamu, to ne pomeni, da to ne vpliva na vaš navidezni računalnik – to pomeni, da dobavitelj še ni objavil navodil za posodobitev KEK in DB za varni zagon 2023. V tem primeru se obrnite na prodajalca distribucije in jim posredujte priporočeni način ali uporabite enega od spodaj opisanih ročnih načinov za posodobitev vdelane programske opreme .

Priporočila odobrenih proizvajalcev operacijskega sistema Linux: 

Priporočila storitve Azure za zaupne navidezne računalnike:

  • Število CVM-jev, ustvarjenih pred aprilom 2024, je zelo nizko. Če je vaš zaupni navidezni računalnik eden redkih, ki nima novih potrdil, sledite korakom za vnovično ustvarjanje CVM-ja.

Nadomestni načini posodobitve vdelane programske opreme 

Opomba: Preden preskusijo posodobitve spremenljivke UEFI neposredno na proizvodnih navideznih računalnikih, lahko stranke s predlogo za hitri začetek storitve Azure simulirajo navidezni računalnik z zaupanja vrednim zagonom sistema Linux s starejšimi potrdili vmesnika digitalnih potrdil vmesnika UEFI iz leta 2011.

Pomembno: Načini ročne posodobitve vdelane programske opreme v tem razdelku so alternativa priporočeni metodologiji dobavitelja distribucije in se z njo medsebojno izključujejo. Najprej uporabite metodo dobavitelja operacijskega sistema, ko je na voljo (glejte priporočila dobaviteljev operacijskega sistema Linux). Spodnje ročne načine uporabite le, če dobavitelj ni objavil navodil ali če vam dobavitelj to izrecno napove. Za isti navidezni računalnik ne uporabite načina dobavitelja in ročnega načina.  Za posodobitve morate uporabiti le en drug način (fwupd, efitools ali sbsigntools) – ni treba zagnati vseh treh.  Vsaka distribucija Linux vključuje različna orodja in različice ter prek različnih skladišč, zato je pomembno, da sledite navodilom, ki jih ponuja vaš operacijski sistem Linux.

Opomba: Razpoložljivost orodja in različice se razlikujejo glede na distribucijo in vir orodja.

1. možnost: uporaba fwupd 

Prepričajte se, da je v navideznem računalniku nameščena različica fwupd 2.0.8 ali novejša. 

Če želite posodobiti tako KEK kot tudi DB, zaženite te ukaze s funkcijo fwupdmgr:

Sudo FWUPDMGR Osveževanje

Posodobitev Sudo FWUPDMGR

2. nadomestna možnost: uporaba orodja efitools 

  • Prenesite pakete posodobitev DB in KEK za Azure.

    wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\

    PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

    wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\

    PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

  • Preverite MD5 ali SHA1 prenesenih dvojiških vrednosti – ti se morajo natančno ujemati s tem:

    sha1sum *.bin

    87cc5bb2efe9b59c6ad9f717a78e190bf1a19191e8 DBUpdate3P2023.bin

    D9a2fa28017653c26afc3d1b5c001adae9dc16a6a6 KEKUpdate_Microsoft_PK1.bin

    md5sum *.bin

    ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin

    5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin

  • Namestitev paketov posodobitev uporabite orodje efi-updatevar

    sudo efi-updatevar -a -f DBUpdate3P2023.bin db

    sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK

    vnovični zagon sudo

3. nadomestna možnost: uporaba orodja sbsigntools 

  • Prenesite in preverite DBUpdate3P2023.bin in KEKUpdate_Microsoft_PK1.bin, kot je opisano v zgornji razdelek »2. alternativa: Uporaba orodja efitools«.

  • Za namestitev paketov posodobitev uporabite pripomoček sbkeysync sbsigntools:

    sudo mkdir -p /etc/secureboot/keys/db

    sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

    sudo mkdir -p /etc/secureboot/keys/KEK

    sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

    sudo chattr -i /sys/firmware/efi/efivars/db-*

    sudo chattr -i /sys/firmware/efi/efivars/KEK-*

    sudo sbkeysync --podrobno

    sudo chattr +i /sys/firmware/efi/efivars/db-*

    sudo chattr +i /sys/firmware/efi/efivars/KEK-*

    vnovični zagon sudo

Koraki za ublažitev posledic v primeru napak pri zagonu 

V primeru scenarija napake, kot je napaka pri zagonu po posodobitvi spremenljivke UEFI, lahko ponastavite nastavitve UEFI na enega od spodnjih načinov: 

  1. Obnovite varnostno kopijo, ki ste jo ustvarili pred začetkom postopka ročnega posodabljanja.

  2. Pretvorite zaupanja vreden navidezni računalnik za zagon v Standardni navidezni računalnik in znova uporabite vrsto varnosti zaupanja vrednega zagona v navideznem računalniku. (Več podrobnosti najdete tukaj: Omogočanje zaupanja vrednega zagona na obstoječih navideznih računalnikih Gen2 – navidezni računalniki Azure | Microsoft Learn)

  3. Izvozite navidezno trdi disk operacijskega sistema v račun shrambe, ustvarite slikogalerije iz navideznega trdega diska in uvedite navidezni računalnik z različico slike galerije.

​​​​​​​​​​​​​​Zavrnitev odgovornosti glede informacij tretjih oseb

Izdelke neodvisnih proizvajalcev, opisane v tem članku, so izdelala od Microsofta neodvisna podjetja. Ne dajemo nobenih jamstev, implicitnih ali drugačnih, o učinkovitosti delovanju ali zanesljivosti teh izdelkov.

Zagotavljamo podatke za stik drugih ponudnikov za pomoč pri iskanju tehnične podpore. Ti podatki za stik se lahko spremenijo brez obvestila. Ne jamčimo za točnost teh podatkov za stik drugih ponudnikov.

Dnevnik sprememb

Spremenite datum

Opis spremembe

29. julija 2026

Večje revizije za večjo jasnost zahtevanih dejanj in alternativne metode posodobitve vdelane programske opreme.

18. junij 2026

Referenčne povezave so bile dodane v razdelek "Priporočila proizvajalcev operacijskega sistema Linux".

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.