Ažuriranja sertifikata za bezbedno pokretanje za Linux na Azure virtuelnim mašinama
Primenjuje se na
Originalni datum objavljivanja: 12. jun 2026.
KB ID: 5103014
Odnosi se na:
Azure Trusted Launch virtuelne mašine i poverljive virtuelne mašine koje rade Linux sa omogućenim bezbednim pokretanjem
Kompletnu listu podržanih operativnih sistema za pouzdano pokretanje potražite na ovoj vezi: Pouzdano pokretanje za Azure virtuelne mašine – Azure virtuelne mašine | Microsoft Learn
Za kompletnu listu podržanih operativnih sistema za poverljive VM-ove pogledajte ovu vezu: Osnovni podaci o Azure poverljivim virtuelnim mašinama | Microsoft Learn
U ovom članku
Uvod
Bezbedno pokretanje sistema je bezbednosna funkcija UEFI firmvera koja osigurava da se tokom sekvence pokretanja VM-a pokreće samo pouzdani, digitalno potpisani softver. Microsoft Secure Boot sertifikati izdati u 2011. godini počinju da ističu u junu 2026.
Da bi se održala zaštita Secure Boot i nastavilo servisiranje procesa ranog pokretanja, Azure Trusted Launch koji radi na Linux-u mora biti ažuriran sa Secure Boot 2023 db i KEK sertifikatima u virtuelnom UEFI firmveru. Poverljive virtuelne mašine za Linux na platformi Azure sa starim certifikatima moraju se ponovo kreirati.
Ako VM nastavi da se oslanja na 2011 certifikate nakon isteka, on će nastaviti da se pokreće. Međutim, više neće primati nove bezbednosne zaštite u vidu ažuriranja podložnih podložki i budućih certifikata i opoziva.
Identifikovanje scenarija koji zahtevaju radnju
Pregledajte sledeće scenarije da biste utvrdili da li je potrebna radnja:
-
Linux Trusted Launch VMs (TVM) ili Confidential VMs (CVM) kreirani pre aprila 2024
-
Azure Compute Gallery slike snimljene sa starijih (pre aprila 2024) Linux Trusted Launch ili Poverljive VM-ove
-
Snimci ili rezervne kopije Linux pouzdanog pokretanja ili poverljivih VM-ova kreiranih pre aprila 2024
-
Poverljivi VM-ovi kreirani pre aprila 2024. od blobova, uvezeni kao bezbedni disk.
Pouzdano pokretanje i poverljive virtuelne mašine napravljene posle aprila 2024. obično već uključuju Secure Boot 2023 sertifikate u virtuelnom UEFI firmveru.
Napomena: Linux poverljive VM-ove kreirane pre aprila 2024. ne treba ručno ažurirati jer se šifrovanje poverljivog diska oslanja na PCR7 vrednost vTPM-a koja se izračunava na osnovu promenljivih bezbednog pokretanja. Ažuriranje sertifikata bezbednog pokretanja bez provere ponovnog zapaćivanja FDE ključa prouzrokovaće da poverljivi VM pređe u režim oporavka. Preporučuje se da ponovo napravite takve stare poverljive VM-ove da biste dobili nove certifikate.
Azure gost VM stavke koje treba uzeti u obzir
Ažuriranja bezbednog pokretanja za Linux na Azure VM-ovima uključuju dve komponente:
-
Sertifikati za bezbedno pokretanje u virtuelnom firmveru (instaliraju se ručno putem alata pod uslovom operativnog sistema ili automatski putem bezbednosnih ispravki)
-
Linux shim i bootloader ažuriranja (distro prodavac upravlja)
Operacije ažuriranja pokreću se iz operativnog sistema sa statusom gosta i oslanjaju se na podršku platforme za primenu potvrđenih ispravki na promenljive Secure Boot.
Nakon identifikovanja primenljivih scenarija, napravite popis okruženja da biste utvrdili koji VM-ovi zahtevaju ispravke.
Potrebne radnje
Za sve Azure virtuelne mašine sa gostima:
-
Proverite da li su Secure Boot 2023 certifikati prisutni u virtuelnom UEFI firmveru
Za pouzdane virtuelne mašine za pokretanje:
-
Pokrenite ažuriranja iz Linux gosta VM operativnog sistema gde je to potrebno u skladu sa preporučenim uputstvima i alatima vašeg dobavljača distribucije.
-
Za Linux VM-ove, ažuriranja se moraju primeniti u ispravnom redosledu.
Važno: Uvek ažurirajte firmver za bezbedno pokretanje (UEFI promenljive) pre nego što ažurirate podlošku ili bootloader.
-
Ažuriranje podloške pre ažuriranja firmvera može dovesti do neuspelog pokretanja.
Za poverljive VM-ove:
-
Većina poverljivih VM-ova već ima nove certifikate. Za poverljive VM-ove bez Secure Boot 2023 certifikata, pratite uputstva ispod u odeljku Preporuke usluge Azure za poverljive VM-ove.
Primena ispravki
Ažuriranja sertifikata za bezbedno pokretanje za Linux na Azure virtuelnim mašinama pokreću se iz operativnog sistema gosta. Ove ispravke se razlikuju u zavisnosti od dobavljača distribucije, i klijenti bi prvo trebalo da potraže preporučeni metod sa dobavljačem distribucije.
Preporuke od Linux OS proizvođača:
-
Azure Linux (CBL-Mariner) - Molimo vas da pređete na Azure Linux 3 ili novije verzije
-
AlmaLinux – UEFI Bezbedno pokretanje sistema: Microsoft 2023 prelaz certifikata Wiki
-
debian - Secure Boot CA menja wiki
-
Red Hat (RHEL) - Kako koristiti fwupd za upisivanje Microsoft UEFI CA 2023 certifikata KB
Preporuke usluge Azure za poverljive VM-ove:
-
Broj CVM-ova kreiranih pre aprila 2024. je veoma nizak. Ako je vaš poverljivi VM jedan od retkih koji nema nove certifikate, pratite korake da biste ponovo kreirali CVM.
Metodi ažuriranja firmvera
Napomena: Pre nego što pokušate da se UEFI promenljiva ažurira direktno na proizvodnim VM-ovima, korisnici mogu da koriste Azure predložak za brzi početak kako bi simulirali Linux Trusted Launch VM sa starijim KSNUMKS UEFI CA sertifikatima.
Korišćenje funkcije fwupd
Uverite se da VM ima instaliran fwupd verzija 2.0.8 ili novija.
Da biste ažurirali i KEK i DB, pokrenite ove komande pomoću funkcije fwupdmgr:
sudo fwupdmgr refresh
sudo fwupdmgr update
Korišćenje efitools
Preuzmite DB i KEK pakete ažuriranja za Azure.
-
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
-
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Koristite efi-updatevar da biste instalirali pakete ispravki
sudo efi-updatevar -a -f DBUpdate3P2023.bin db
sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
sudo ponovno pokretanje
Korišćenje alatke sbsigntools
Preuzmite DB i KEK pakete ažuriranja za Azure.
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \
PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Koristite sbkeysync uslužni program sbsigntools da biste instalirali pakete ispravki:
sudo mkdir -p /etc/secureboot/keys/db
sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
sudo mkdir -p /etc/secureboot/keys/KEK
sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
sudo chattr -i /sys/firmware/efi/efivars/db-*
sudo chattr -i /sys/firmware/efi/efivars/KEK-*
sudo sbkeysync --verbose
sudo chattr +i /sys/firmware/efi/efivars/db-*
sudo chattr +i /sys/firmware/efi/efivars/KEK-*
sudo ponovno pokretanje
Metodi verifikacije
Korišćenje aplikacije mokutil
-
Mokutil --DB | grep "UEFI CA 2023"
-
Mokutil --KEK | grep "KEK 2K CA 2023"
Korišćenje efitools
-
efi-readvar -v db | grep "UEFI CA 2023"
-
efi-readvar -v KEK | grep "KEK 2K CA 2023"
-
Linux ažuriranje lanca pokretanja
Nakon uspešnog ažuriranja firmvera, bezbedno je primeniti ažuriranja podloške od dobavljača Linuk distribucije.
Druga razmatranja Azure resursa
|
Azure resurs |
Kreirano pre aprila 2024. |
Potrebna je radnja za TVM |
Potrebna je radnja za CVM |
|---|---|---|---|
|
Rezervna kopija/snimak ekrana |
Da |
Pokretanje VM-a, primena ispravki, ponovno snimanje |
Ponovo kreirajte CVM, ponovo uhvatite |
|
Rezervna kopija/snimak ekrana |
Ne |
Nije potrebna nikakva radnja |
Nije potrebna nikakva radnja |
|
Compute Gallery image |
Da |
Primena, ažuriranje, ponovno hvatanje |
Ponovo kreirajte CVM, ponovo uhvatite |
|
Compute Gallery image |
Ne |
Nije potrebna nikakva radnja |
Nije potrebna nikakva radnja |
Nadgledanje statusa ažuriranja
Verifikujte ispravke putem operativnog sistema gosta:
-
Provera uspešnog pokretanja nakon ažuriranja
-
Potvrda postojanja sertifikata za bezbedno pokretanje u firmveru
Pristupi nadgledanju i validaciji mogu da se razlikuju u zavisnosti od Linux distribucije, pa bi trebalo da se obratite dobavljaču distribucije.
Koraci za ublažavanje u slučaju otkazivanja pokretanja
U slučaju scenarija otkazivanja kao što je otkazivanje pokretanja nakon ažuriranja UEFI promenljive, možete da uspostavite početne vrednosti UEFI postavki koristeći jedan od dolenavedenih metoda:
-
Vratite rezervnu kopiju napravljenu pre pokretanja procesa ručnog ažuriranja.
-
Pretvorite Trusted Launch VM na Standard VM i ponovo primenite bezbednosni tip pouzdanog pokretanja na VM. (Više detalja ovde: Omogućavanje pouzdanog pokretanja na postojećim Gen2 virtuelnim mašinama – Azure virtuelne mašine | Microsoft Learn)
-
Izvezite VHD operativni sistem na nalog skladišta, kreirajte slikugalerije sa VHD i primenite VM pomoću verzije slike galerije.
Odricanje odgovornosti za informacije nezavisnih proizvođača
Proizvodi nezavisnih proizvođača opisani u ovom članku proizveli su proizvođači nezavisni od korporacije Microsoft. Ne pružamo nikakvu garanciju, impliciranu ili neku drugu, u vezi sa performansama ili pouzdanošću ovih proizvoda.
Obezbeđujemo kontakt informacije nezavisnog proizvođača kako bismo vam pomogli da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.
Evidencija promena
|
Promena datuma |
Promeni opis |
|
18. jun 2026. |
Referentni linkovi su dodati u odeljak, "Preporuke od Linux OS proizvođača". |
Da li vam je potrebna dodatna pomoć?
Želite još opcija?
Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.
Zajednice vam pomažu da postavljate pitanja i odgovarate na pitanja, dajete povratne informacije i čujete mišljenje od stručnjaka sa bogatim znanjem.
