Obs
- Ursprungligt publiceringsdatum: Juni 12, 2026
- KB-ID: 5103014
Obs
- Gäller för:
- Azure Trusted Launch virtuella datorer och konfidentiella Virtual Machines som kör Linux med säker start aktiverat
- En fullständig lista över operativsystem som stöds för Trusted Launch finns på den här länken: Trusted Launch for Azure VMs – Azure Virtual Machines | Microsoft Learn
- En fullständig lista över operativsystem som stöds för konfidentiella virtuella datorer finns på den här länken: Om konfidentiella virtuella datorer i Azure | Microsoft Learn
I den här artikeln
Introduktion
Säker start är en säkerhetsfunktion för inbyggd UEFI-programvara som hjälper till att säkerställa att endast betrodd, digitalt signerad programvara körs under startsekvensen för den virtuella datorn. Microsoft Secure Boot-certifikat som utfärdades 2011 börjar löpa ut i juni 2026.
För att upprätthålla skyddat startskydd och fortsatt underhåll av den tidiga startprocessen måste Azure Trusted Launch som kör Linux uppdateras med Secure Boot 2023 DB- och KEK-certifikat i virtuell UEFI-firmware. Konfidentiella Virtual Machines för Linux på Azure med gamla certifikat måste återskapas.
Om en virtuell dator fortsätter att förlita sig på 2011-certifikaten efter förfallodatumet fortsätter den att starta. Den kommer dock inte längre att få nya säkerhetsskydd i form av shim-uppdateringar och framtida certifikat och återkallanden. Kunder med virtuella datorer som inte har uppdaterade certifikat bör fortsätta att arbeta med sina distributionleverantörer för att uppdatera sina certifikat även efter förfallodatumet.
Identifiera scenarier som kräver åtgärder
Granska följande scenarier för att avgöra om en åtgärd krävs:
- Linux Trusted Launch VM (TVM) eller konfidentiella virtuella datorer (CVM) skapade före april 2024
- Azure Compute Gallery avbildningar som tagits från äldre (före april 2024) Linux betrodd start eller konfidentiella virtuella datorer
- Ögonblicksbilder eller säkerhetskopior av Linux Trusted Launch eller konfidentiella virtuella datorer som skapats före april 2024
- Konfidentiella virtuella datorer som skapats före april 2024 från blobar, importerade som säker disk.
Trusted Launch och Confidential Virtual Machines som skapats efter april 2024 inkluderar vanligtvis redan Secure Boot 2023-certifikat i virtuell UEFI-firmware.
Obs
Linux Confidential VMs som skapats före april 2024 bör inte uppdateras manuellt eftersom konfidentiell diskkryptering förlitar sig på PCR7-värdet för vTPM som beräknas baserat på variablerna för säker start. Om du uppdaterar certifikaten för säker start utan att säkerställa att FDE-nyckeln förseglas igen hamnar den konfidentiella virtuella datorn i återställningsläge. Vi rekommenderar att du återskapar sådana gamla konfidentiella virtuella datorer för att få de nya certifikaten.
Överväganden för virtuella Azure-gästdatorer
Uppdateringar av säker start för Linux på virtuella Azure-datorer omfattar två komponenter:
- Certifikat för säker start i virtuell inbyggd programvara (installeras manuellt via verktyg som tillhandahålls av operativsystemet eller automatiskt via säkerhetsuppdateringar)
- Linux shim och bootloader uppdateringar (distro leverantör hanterad)
Uppdateringsåtgärder initieras inifrån gästoperativsystemet och förlitar sig på plattformsstöd för att tillämpa autentiserade uppdateringar på variabler för säker start.
När du har identifierat tillämpliga scenarier inventerar du miljön för att avgöra vilka virtuella datorer som behöver uppdateras.
Åtgärder krävs
För alla virtuella gästdatorer i Azure:
- Kontrollera om Secure Boot 2023-certifikat finns i virtuell UEFI-inbyggd programvara
Verifieringsmetoder
Kör de här kommandona efter uppdateringen och starta om. På en uppdaterad virtuell dator returnerar varje kommando en matchande rad. Om ett kommando inte returnerar några utdata finns motsvarande 2023-certifikat inte och uppdateringen har inte tillämpats kontrollerar du uppdateringsstegen igen innan du tillämpar den.
Både DB- och KEK-kontrollerna måste returnera en rad. En uppdaterad dator visar DB-certifikatet för 2023 och KEK-certifikatet för 2023.
Använder mokutil
Obs
- mokutil --db | grep "UEFI CA 2023"
- CN = Microsoft UEFI CA 2023
- mokutil --kek | grep "KEK 2K CA 2023"
- CN = Microsoft Corporation KEK 2K CA 2023
Använda efitools
Obs!
- efi-readvar -v db | grep "UEFI CA 2023"
- Microsoft UEFI CA 2023
- efi-readvar -v KEK | grep "KEK 2K CA 2023"
- Microsoft Corporation KEK 2K CA 2023
Obs!
- Om 'mokutil' inte är installerat, installera det från din distributions standardförråd eller använd 'efi-readvar -v db` / `efi-readvar -v KEK' istället.
- För konfidentiella virtuella datorer ska du inte köra en manuell uppdatering baserat på dessa utdata – återskapa den virtuella datorn enligt beskrivningen i Rekommendationer från Azure för konfidentiella virtuella datorer.
Uppdatering av startkedjan för Linux
Efter den framgångsrika firmwareuppdateringen är det säkert att tillämpa shim-uppdateringar från Linux distributionsleverantörer.
Andra överväganden gällande Azure-resurser
| Azure-resurs | Skapad före april 2024 | Åtgärd krävs för TVM | Åtgärd som krävs för samarbets- och kontrollmekanismen |
|---|---|---|---|
| Säkerhetskopiering/ögonblicksbild | Ja | Starta virtuell dator, tillämpa uppdateringar, återta åtkomst | Återskapa CVM, återta |
| Säkerhetskopiering/ögonblicksbild | Nej | Ingen åtgärd krävs | Ingen åtgärd krävs |
| Bild av beräkningsgalleri | Ja | Distribuera, uppdatera, återta | Återskapa CVM, återta |
| Bild av beräkningsgalleri | Nej | Ingen åtgärd krävs | Ingen åtgärd krävs |
Övervaka uppdateringsstatus
Verifiera uppdateringar via gästoperativsystemet:
- Verifiera lyckad start efter uppdateringar
- Bekräfta att certifikat för säker start finns i den inbyggda programvaran
Övervaknings- och valideringsmetoder kan variera beroende på Linux distribution, och du bör kontrollera med din distributionsleverantör.
För betrodda virtuella startdatorer:
Alla uppdateringar måste tillämpas i rätt ordning.
Viktigt!
Uppdatera alltid den inbyggda programvaran för säker start (UEFI-variabler) innan du uppdaterar shim eller bootloader.
Vi rekommenderar att du startar om den virtuella datorn först för att se till att den kör den senaste inbyggda programvaran och verifiera en lyckad start.
Initiera uppdateringar inifrån Linux gästoperativsystem där det behövs enligt din distroleverantörs rekommenderade vägledning och verktyg.
Om du stöter på KEK- eller DB-uppdateringsfel och du inte har startat om först, startar du om den virtuella datorn för att se till att den kör den senaste inbyggda programvaran och försöker uppdatera KEK och DB igen.
Om du uppdaterar shimmen innan du uppdaterar den inbyggda programvaran först kan det resultera i ett startfel.
För konfidentiella virtuella datorer:
- De flesta konfidentiella virtuella datorer har redan de nya certifikaten. För konfidentiella virtuella datorer utan Secure Boot 2023-certifikat följer du anvisningarna nedan i avsnittet Rekommendationer av Azure för konfidentiella virtuella datorer.
Distribuera uppdateringar
Uppdateringar av certifikat för säker start för Linux på virtuella Azure-datorer initieras inifrån gästoperativsystemet. Dessa uppdateringar skiljer sig åt beroende på distroleverantörer och kunder bör först kontakta sin distroleverantör om den rekommenderade metoden.
Obs
- Endast de Linux OS-leverantörer som har publicerat uppdateringsvägledning för certifikat för säker start visas här. Den här listan uppdateras när ytterligare leverantörer publicerar sina riktlinjer.
- Om distributionens leverantör inte visas innebär det inte att den virtuella datorn inte påverkas – det innebär att leverantören ännu inte har publicerat uppdateringsvägledning för säker start 2023 KEK och DB. Kontakta i så fall distributionsleverantören och fråga om deras rekommenderade metod, eller använd någon av de manuella alternativa metoderna för uppdatering av inbyggd programvara som beskrivs nedan.
Rekommendationer från godkända Linux OS-leverantörer:
- Azure Linux (CBL-Mariner) - Gå över till Azure Linux 3 eller senare
- AlmaLinux – UEFI säker start: Microsoft 2023 wiki för certifikatövergång
- Debian - Säker start CA-ändringar, wiki
- Red Hat (RHEL) – Så här använder du fwupd för att registrera Microsoft UEFI CA 2023-certifikatet KB
- Ubuntu – Microsoft UEFI CA-rotation Diskussion om communityn
Rekommendationer från Azure för konfidentiella virtuella datorer:
- Antalet samarbets- och kontrollmekanismer som skapats före april 2024 är mycket lågt. Om den konfidentiella virtuella datorn är en av de få som inte har de nya certifikaten följer du anvisningarna för att återskapa CVM:en.
Alternativa uppdateringsmetoder för inbyggd programvara
Obs
Innan de provar UEFI-variabeluppdateringarna direkt på virtuella produktionsdatorer kan kunderna använda snabbstartsmallen Azure för att simulera den virtuella Linux Trusted Launch-VM med äldre 2011 UEFI CA-certifikat.
Viktigt!
De manuella metoderna för uppdatering av den fasta programvaran i det här avsnittet är ett alternativ till, och ömsesidigt uteslutande med, din distributionsleverantörs rekommenderade metod. Använd OS-leverantörens metod när en sådan är tillgänglig först (se rekommendationer från Linux OS-leverantörer). Använd de manuella metoderna nedan endast när din leverantör inte har publicerat vägledning, eller när din leverantör uttryckligen instruerar dig att göra det. Tillämpa inte både leverantörsmetoden och en manuell metod på samma virtuella dator. Du behöver bara använda en alternativ metod för uppdateringar (fwupd, efitools eller sbsigntools) – det är inte nödvändigt att köra alla tre. Varje Linux distro paketerar olika verktyg och versioner och via olika repositories, så det är viktigt att följa anvisningarna från din Linux OS.
Obs
Verktygstillgänglighet och versioner skiljer sig åt beroende på distribution och verktygskälla.
Kontrollera att den virtuella datorn har fwupd version 2.0.8 eller senare installerad.
Om du vill uppdatera både KEK och DB kör du följande kommandon med fwupdmgr:
Obs
- sudo fwupdmgr refresh
- sudo fwupdmgr update
Alternativ 2: Att använda efitools
Ladda ned DB- och KEK-uppdateringspaket för Azure.
Obs
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
Kontrollera MD5 eller SHA1 för de nedladdade binärfilerna – de ska matcha följande exakt:
Obs
- sha1sum *.bin
- 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
- d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
- md5sum *.bin
- ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
- 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
Använda efi-updatevar för att installera uppdateringspaketen
Obs
- sudo efi-updatevar -a -f DBUpdate3P2023.bin db
- sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
- sudo reboot
Alternativ 3: Använda sbsigntools
Ladda ner och verifiera och KEKUpdate_Microsoft_PK1.bin enligt DBUpdate3P2023.bin beskrivningen i "Alternativ 2: Använda efitools" ovan.
Använd verktyget sbkeysync från sbsigntools för att installera uppdateringspaketen:
Obs
- sudo mkdir -p /etc/secureboot/keys/db
- sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
- sudo mkdir -p /etc/secureboot/keys/KEK
- sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
- sudo chattr -i /sys/firmware/efi/efivars/db-*
- sudo chattr -i /sys/firmware/efi/efivars/KEK-*
- sudo sbkeysync --verbose
- sudo chattr +i /sys/firmware/efi/efivars/db-*
- sudo chattr +i /sys/firmware/efi/efivars/KEK-*
- sudo reboot
Åtgärdssteg vid startfel
I händelse av ett felscenario, t. ex. startfel efter variabel UEFI-uppdatering, kan du återställa UEFI-inställningarna med någon av metoderna nedan:
- Återställ säkerhetskopian som togs innan du startade den manuella uppdateringen.
- Konvertera den betrodda virtuella startdatorn till den virtuella standarddatorn och tillämpa säkerhetstypen betrodd start igen på den virtuella datorn. (Mer information här: Aktivera betrodd start på befintliga virtuella Gen2-datorer – Azure Virtual Machines | Microsoft Learn)
- Exportera den virtuella hårddisken för operativsystemet till ett lagringskonto, skapa en galleriavbildning från den virtuella hårddisken och distribuera den virtuella datorn med hjälp av galleriavbildningsversionen .
Ansvarsfriskrivning från tredje part
Produkter från andra leverantörer som nämns i den här artikeln tillverkas av företag som inte har någon anknytning till Microsoft. Vi lämnar ingen garanti, underförstådd eller på annat sätt, om dessa produkters prestanda eller tillförlitlighet.
Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi kan inte garantera att den här kontaktinformationen från tredje part är korrekt.
Ändringslogg
| Ändra datum | Beskrivning av ändring |
|---|---|
| Juli 29, 2026 | Större revideringar för att förtydliga vilka åtgärder som krävs och alternativa uppdateringsmetoder för inbyggd programvara. |
| Juni 18, 2026 | Referenslänkar har lagts till i avsnittet "Rekommendationer från Linux OS-leverantörer". |