Not
- Orijinal yayınlama tarihi: 12 Haziran 2026
- KB Kimliği: 5103014
Not
- Şunlar için geçerlidir:
- AzureAzure Trusted Launch virtual machines and Confidential Sanal MakinelerSanal Makineler running LinuxLinux with Secure Boot enabled
- Güvenilir Başlatma için desteklenen işletim sistemlerinin tam listesi için lütfen şu bağlantıya bakın: Azure VM'ler için Güvenilir Başlatma - Azure Sanal Makineler | Microsoft Learn
- Gizli VM'ler için desteklenen işletim sistemlerinin tam listesi için lütfen şu bağlantıya bakın: TAzureHakkında Azure Gizli VM'ler | Microsoft Learn
Bu makalede
Giriş
Güvenli Önyükleme, VM önyükleme sırası sırasında yalnızca güvenilir, dijital olarak imzalanmış yazılımların çalışmasını sağlamaya yardımcı olan bir UEFI üretici yazılımı güvenlik özelliğidir. 2011'de verilen Microsoft Güvenli Önyükleme sertifikalarının süresi Haziran 2026'da dolmaya başlıyor.
Güvenli Önyükleme korumasını ve erken önyükleme işleminin sürekli bakımını sürdürmek için AzureAzure Güvenilir Başlatma LinuxLinux, sanal UEFI üretici yazılımında Secure Boot 2023 DB ve KEK sertifikalarıyla güncelleştirilmelidir. Confidential Sanal MakinelerSanal Makineler for LinuxLinux on AzureAzure with old certificates recreated gerekir.
VM süresi dolduktan sonra 2011 sertifikalarını kullanmaya devam ederse, önyüklemeye devam eder. Ancak artık dolgu güncelleştirmeleri ve gelecekteki sertifikalar ve iptaller şeklinde yeni güvenlik korumaları almayacaktır. Güncelleştirilmiş sertifikaları olmayan VM'lere sahip müşteriler, son kullanma tarihinden sonra bile sertifikalarını güncelleştirmek için dağıtım satıcılarıyla çalışmaya devam etmelidir.
Eylem gerektiren senaryoları belirleme
Eylem gerekip gerekmediğini belirlemek için aşağıdaki senaryoları gözden geçirin:
- LinuxLinux Linux Güvenilen Başlatma VM'leri (TVM) veya Nisan 2024'ten önce oluşturulmuş Gizli VM'ler (CVM)
- AzureAzure Compute Gallery images capture from older (pre-April 2024) LinuxLinux Trusted Launch or Secret VMs
- Nisan 2024'ten önce oluşturulan Linux Trusted Launch veya Gizli VM'lerin anlık görüntüleri veya yedekleri
- Bloblardan Nisan 2024'ten önce oluşturulan ve güvenli disk olarak içeri aktarılan gizli VM'ler.
Nisan 2024'ten sonra oluşturulan Güvenilir Başlatma ve Gizli Sanal Makineler, genellikle sanal UEFI üretici yazılımında Güvenli Önyükleme 2023 sertifikalarını zaten içerir.
Not
LinuxLinux Gizli Disk Şifrelemesi, güvenli önyükleme değişkenlerine göre hesaplanan vTPM'nin PCR7 değerine dayandığından, Nisan 2024'ten önce oluşturulan Gizli VM'ler el ile güncelleştirilmemelidir. FDE anahtarının yeniden mühürlenmesini sağlamadan güvenli önyükleme sertifikalarını güncelleştirmek, gizli VM'nin kurtarma moduna geçmesine neden olur. Yeni sertifikaları almak için bu tür eski gizli VM'lerin yeniden oluşturulması önerilir.
AzureAzure konuk VM konusunda dikkat edilmesi gerekenler
Tiçin Güvenli Önyükleme güncelleştirmeleri LinuxLinux on AzureAzure VM'ler iki bileşen içerir:
- Sanal bellenimde Güvenli Önyükleme sertifikaları (işletim sistemi tarafından sağlanan araçlar aracılığıyla manuel olarak veya Güvenlik güncellemeleri aracılığıyla otomatik olarak yüklenir)
- LinuxLinux shim ve bootloader güncellemeleri (dağıtım satıcısı tarafından yönetilen)
Güncelleştirme işlemleri konuk işletim sisteminin içinden başlatılır ve kimliği doğrulanmış güncelleştirmeleri Güvenli Önyükleme değişkenlerine uygulamak için platform desteğine dayanır.
Uygulanabilir senaryoları belirledikten sonra, hangi VM'lerin güncelleştirme gerektirdiğini belirlemek için ortamınızın envanterini çıkarın.
Birkaç işlem gerekli
For all AzureAzure guest VMs:
- Güvenli Önyükleme 2023 sertifikalarının sanal UEFI üretici yazılımında mevcut olup olmadığını doğrulayın
Doğrulama yöntemleri
Güncelleştirmeden sonra bu komutları çalıştırın ve programı yeniden başlatın. Başarıyla güncelleştirilen bir VM'de her komut eşleşen bir satır döndürür. Bir komut çıktı döndürmezse ilgili 2023 sertifikası yoktur ve güncelleştirme uygulanmamıştır—uygulamadan önce güncelleştirme adımlarını yeniden denetleyin.
Hem DB hem de KEK kontrolleri bir satır döndürmelidir. Başarıyla güncellenen bir makine, 2023 DB sertifikasını ve 2023 KEK sertifikasını gösterir.
Mokutil'i kullanma
Not
- mokutil --db | grep "UEFI CA 2023"
- CN = Microsoft UEFI CA 2023
- mokutil --kek | grep "KEK 2K CA 2023"
- CN = Microsoft Corporation KEK 2K CA 2023
Efitools'u kullanma
Not
- efi-readvar -v db | grep "UEFI CA 2023"
- Microsoft UEFI CA 2023
- efi-readvar -v KEK | grep "KEK 2K CA 2023"
- Microsoft Corporation KEK 2K CA 2023
Not:
- 'mokutil' ' yüklü değilse, dağıtımınızın standart depolarından yükleyin veya bunun yerine 'efi-readvar -v db` / `efi-readvar -v KEK' kullanın.
- Gizli VM'ler için, bu çıktıyı temel alan el ile bir güncelleştirme çalıştırmayın - VM'yi Gizli VM'ler için Azure Önerileri bölümünde açıklandığı gibi yeniden oluşturun.
LinuxLinux önyükleme zinciri güncellemesi
Başarılı ürün yazılımı güncellemesinden sonra, LinuxLinux dağıtım satıcılarından dolgu güncellemelerini uygulamak güvenlidir.
Diğer AzureAzure resources considerations
| AzureAzure resource | Nisan 2024'ten önce oluşturuldu | TVM için gereken eylem | CVM için gereken eylem |
|---|---|---|---|
| Yedekleme/anlık görüntü | Evet | VM'yi önyükleme, güncelleştirmeleri uygulama, yeniden yakalama | CVM'yi yeniden oluşturun, yeniden yakalayın |
| Yedekleme/anlık görüntü | Hayır | Eylem gerekmez | Eylem gerekmez |
| İşlem Galerisi görüntüsü | Evet | Dağıtma, güncelleştirme, yeniden ele geçirme | CVM'yi yeniden oluşturun, yeniden yakalayın |
| İşlem Galerisi görüntüsü | Hayır | Eylem gerekmez | Eylem gerekmez |
Güncelleştirme durumunu izleme
Güncelleştirmeleri konuk işletim sistemi üzerinden doğrulayın:
- Güncelleştirmelerden sonra başarılı önyüklemeyi doğrulama
- Güvenli Önyükleme sertifikalarının üretici yazılımında bulunduğunu doğrulayın
İzleme ve doğrulama yaklaşımları Linux dağıtıma göre değişiklik gösterebilir ve dağıtım satıcınıza danışmanız gerekir.
Güvenilen Başlatma VM'leri için:
Tüm güncelleştirmeler doğru sırada uygulanmalıdır.
Önemli
Dolgu veya önyükleyiciyi güncellemeden önce her zaman Güvenli Önyükleme ürün yazılımını (UEFI değişkenleri) güncelleyin.
En son üretici yazılımını çalıştırdığından emin olmak ve başarılı bir önyüklemeyi doğrulamak için önce VM'nizi yeniden başlatmanız önerilir.
Dağıtım satıcınızın önerilen yönergelerine ve araçlarına göre gerektiğinde güncelleştirmeleri Linux konuk VM işletim sisteminden başlatın.
KEK veya DB güncelleştirme hatalarıyla karşılaşırsanız ve önce yeniden başlatmadıysanız, en son üretici yazılımını çalıştırdığından emin olmak için VM'nizi yeniden başlatın ve KEK ile DB'yi yeniden güncelleştirmeyi deneyin.
Üretici yazılımını güncellemeden önce dolgunun güncellenmesi, önyükleme hatasına neden olabilir.
Gizli VM'ler için:
- Gizli VM'lerin çoğu yeni sertifikalara zaten sahiptir. Güvenli Önyükleme 2023 sertifikaları olmayan Gizli VM'ler için, Gizli VM'ler için Azure önerileri bölümünde yer alan aşağıdaki yönergeleri izleyin.
Güncelleştirmeleri dağıtma
TLinuxLinux on AzureAzure için Güvenli Önyükleme sertifika güncelleştirmeleri Azure VM'ler konuk işletim sisteminin içinden başlatılır. Bu güncelleştirmeler dağıtım satıcılarına göre farklılık gösterir ve müşterilerin önce önerilen yöntemle ilgili dağıtım satıcılarına başvurmaları gerekir .
Not
- Yalnızca Güvenli Önyükleme sertifikası güncelleştirme kılavuzu yayımlayan Linux işletim sistemi satıcıları burada listelenmiştir. Bu liste, ek satıcılar kılavuzlarını yayımladıkça güncelleştirilir.
- Dağıtımınızın satıcısının listelenmemesi, VM'nizin etkilenmediği anlamına gelmez; bu, satıcının henüz güvenli önyükleme 2023 KEK ve DB güncelleştirme kılavuzu yayınlamadığı anlamına gelir. Bu durumda, önerilen yöntem için dağıtım satıcınızla iletişime geçin veya aşağıda açıklanan el ile Alternatif üretici yazılımı güncelleme yöntemlerinden birini kullanın.
Onaylanmış LinuxLinux işletim sistemi satıcılarından öneriler:
- Azure Linux (CBL-Mariner) - Lütfen Azure Linux 3 veya daha yeni bir sürüme geçin
- AlmaLinux - UEFI Güvenli Önyükleme: Microsoft 2023 Sertifika Geçişi Wiki'si
- Debian - Güvenli Önyükleme CA Değişiklikleri Wiki
- Red Hat (RHEL) - Microsoft UEFI CA 2023 sertifika KB'sini kaydetmek için fwupd nasıl kullanılır
- Ubuntu - Microsoft UEFI CA rotasyonu Topluluk Söylemi
Gizli VM'ler için Azure önerileri:
- Nisan 2024'ten önce oluşturulan CVM'lerin sayısı çok düşük. Gizli VM'niz yeni sertifikalara sahip olmayan birkaç VM'den biriyse, CVM'yi yeniden oluşturma adımlarını izleyin.
Alternatif üretici yazılımı güncelleştirme yöntemleri
Not
Müşteriler, UEFI değişkeni güncelleştirmelerini doğrudan üretim VM'lerinde denemeden önce, eski 2011 UEFI CA sertifikalarına sahip LinuxLinux Güvenilir Başlatma VM'sinin benzetimini yapmak için AzureAzure hızlı başlangıç şablonunu kullanabilir.
Önemli
Bu bölümde yer alan el ile üretici yazılımı güncelleme yöntemleri, dağıtım satıcınızın önerdiği metodolojiye bir alternatiftir ve bu yöntemleri karşılıklı olarak dışlar. İlk önce kullanılabilir olduğunda işletim sistemi satıcınızın yöntemini kullanın (Linux işletim sistemi satıcılarının önerilerine bakın). Aşağıdaki manuel yöntemleri yalnızca satıcınız kılavuz yayınlamadığında veya satıcınız sizi açıkça yönlendirdiğinde kullanın. Aynı VM'ye hem satıcı yöntemini hem de el ile yöntemi uygulamayın. Güncelleştirmeler için yalnızca bir alternatif yöntem kullanmanız gerekir (fwupd, efitools veya sbsigntools); üçünü de çalıştırmak gerekmez. Her LinuxLinux dağıtımı, farklı araçları ve sürümleri ve farklı depolar aracılığıyla paketler, bu nedenle LinuxLinux işletim sisteminiz tarafından sağlanan talimatları takip etmeniz önemlidir.
Not
Takım kullanılabilirliği ve sürümleri, dağıtıma ve takım kaynağına göre farklılık gösterir.
VM'de fwupd sürüm 2.0.8 veya üzerinin yüklü olduğundan emin olun.
Hem KEK hem de DB'yi güncellemek için şu komutları fwupdmgr ile çalıştırın:
Not
- sudo fwupdmgr refresh
- sudo fwupdmgr update
Alternatif 2: efitools'u kullanma
TAzureAzure için DB ve KEK güncelleştirme paketlerini indirin.
Not
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
- wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
- PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
İndirilen ikili dosyaların MD5 veya SHA1'ini doğrulayın. Bunlar aşağıdakilerle tam olarak eşleşmelidir:
Not
- sha1sum *.bin
- 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
- d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
- md5sum *.bin
- ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
- 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
Güncelleştirme paketlerini yüklemek için efi-updatevar kullanın
Not
- sudo efi-updatevar -a -f DBUpdate3P2023.bin db
- sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
- sudo reboot
Alternatif 3: sbsigntools'u kullanma
İndirin ve doğrulayın DBUpdate3P2023.bin ve KEKUpdate_Microsoft_PK1.bin yukarıdaki "Alternatif 2: efitools'u kullanma" bölümünde açıklandığı gibi.
Güncelleme paketlerini yüklemek için sbsigntools'un sbkeysync yardımcı programını kullanın:
Not
- sudo mkdir -p /etc/secureboot/keys/db
- sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
- sudo mkdir -p /etc/secureboot/keys/KEK
- sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
- sudo chattr -i /sys/firmware/efi/efivars/db-*
- sudo chattr -i /sys/firmware/efi/efivars/KEK-*
- sudo sbkeysync --verbose
- sudo chattr +i /sys/firmware/efi/efivars/db-*
- sudo chattr +i /sys/firmware/efi/efivars/KEK-*
- sudo reboot
Önyükleme hataları durumunda risk azaltma adımları
UEFI değişkeni güncellemesinden sonra önyükleme hatası gibi bir arıza senaryosu olması durumunda, aşağıdaki yöntemlerden birini kullanarak UEFI ayarlarını sıfırlayabilirsiniz:
- El ile güncelleme işlemini başlatmadan önce alınan yedeği geri yükleyin.
- Güvenilen Başlatma VM'sini Standart VM'ye dönüştürün ve VM'de Güvenilir Başlatma güvenlik türünü yeniden uygulayın. (Daha fazla ayrıntı burada: Mevcut Gen2 VM'lerinde Güvenilir başlatmayı etkinleştirme - Azure Sanal Makineler | Microsoft Learn)
- OS vhd'yi bir depolama hesabına aktarın, vhd'den bir galeri görüntüsü oluşturun ve galeri görüntüsü sürümünü kullanarak VM'yi dağıtın.
Üçüncü taraf bilgileri hakkında bildirim
Bu makalede açıklanan üçüncü taraf ürünleri, Microsoft'tan bağımsız şirketler tarafından üretilmektedir. Bu ürünlerin performansı veya güvenilirliğiyle ilgili zımni veya başka türlü hiçbir garanti vermiyoruz.
Teknik destek bulmanıza yardımcı olmak için üçüncü tarafların iletişim bilgilerini sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmiyoruz.
Değişiklik günlüğü
| Tarihi değiştir | Açıklamayı değiştir |
|---|---|
| 29 Temmuz 2026 | Gerekli eylemlere netlik katmak için büyük revizyonlar ve alternatif ürün yazılımı güncelleme yöntemleri. |
| 18 Haziran 2026 | "Linux işletim sistemi satıcılarının önerileri" bölümüne başvuru bağlantıları eklendi. |