Оновлення сертифіката безпечного завантаження для Linux на віртуальних машинах Azure

Застосовується до
Virtual Machine running Linux

Примітка.

  • Дата початкової публікації: 12 червня 2026 р.
  • Ідентифікатор бази знань: 5103014

Примітка.

У цій статті

Вступ

Безпечне завантаження – це функція захисту мікропрограми інтерфейсу UEFI, яка забезпечує роботу тільки надійного програмного забезпечення з цифровим підписом під час послідовності завантаження віртуальної машини. Сертифікати Microsoft Secure Boot, видані у 2011 році, припиняють дію в червні 2026 р.

Щоб підтримувати захист від безпечного завантаження та подальше обслуговування процесу раннього завантаження, AzureAzure Trusted Launch під керуванням LinuxLinux Linux необхідно оновити за допомогою сертифікатів Secure Boot 2023 DB та KEK у прошивці віртуального UEFI. Конфіденційні віртуальні машини для Linux на Azure зі старими сертифікатами необхідно створювати заново.

Якщо віртуальна машина продовжить використовувати сертифікати 2011 після завершення терміну дії, вона продовжить завантаження. Проте, він більше не отримуватиме нові засоби захисту у вигляді оновлень шим-коду, майбутніх сертифікатів і відкликань. Клієнти з віртуальними машинами, у яких немає оновлених сертифікатів, повинні продовжувати співпрацювати з постачальниками дистрибутивів над оновленням сертифікатів навіть після закінчення терміну дії.

Визначення сценаріїв, для яких необхідно вжити заходів

Розгляньте наведені нижче сценарії, щоб визначити, чи потрібно виконувати певні дії.

  • LinuxLinux Довірені віртуальні машини запуску (TVM) або конфіденційні віртуальні машини (CVM), створені до квітня 2024 р.
  • AzureAzure Compute Gallery зображення, взяті зі старіших версій (до квітня 2024 р.) LinuxLinux Надійний запуск або конфіденційні віртуальні машини
  • Знімки або резервні копії надійних віртуальних машин Linux запуску або конфіденційних віртуальних машин, створених до квітня 2024 р.
  • Конфіденційні віртуальні машини, створені до квітня 2024 року на основі BLOB-об'єктів, імпортованих як захищений диск.

Довірені віртуальні машини запуску та конфіденційні віртуальні машини, створені після квітня 2024 року, зазвичай уже включають сертифікати Secure Boot 2023 у віртуальній прошивці UEFI.

Примітка.

LinuxLinux Конфіденційні віртуальні машини, створені до квітня 2024 р., не слід оновлювати вручну, оскільки шифрування конфіденційного диска використовує значення PCR7 модуля vTPM, яке обчислюється на основі змінних безпечного завантаження. Оновлення сертифікатів безпечного завантаження без забезпечення повторного запечатування ключа FDE призведе до переходу конфіденційної віртуальної машини в режим відновлення. Рекомендується відтворити такі старі конфіденційні віртуальні машини, щоб отримати нові сертифікати.

AzureAzure Azure guest VM consider ings

Оновлення безпечного завантаження для LinuxLinux on AzureAzure Віртуальні машини включають два компоненти:

  • Сертифікати безпечного завантаження у віртуальній прошивці (інсталюються вручну через надані засобами ОС або автоматично через оновлення системи безпеки)
  • LinuxLinux Linux shim та bootloader updates (під керуванням постачальника distro)

Операції оновлення ініціюються в гостьовій операційній системі та залежать від підтримки платформи для застосування автентифікованих оновлень до змінних безпечного завантаження.

Визначивши відповідні сценарії, проведіть інвентаризацію середовища, щоб визначити, які віртуальні машини потребують оновлення.

Необхідні дії

Для всіх Azure гостьових віртуальних машин:

  • Перевірка наявності сертифікатів безпечного завантаження 2023 у віртуальній прошивці UEFI

Способи перевірки

Виконайте ці команди після оновлення та перезавантаження. На успішно оновленій віртуальній машині кожна команда повертає відповідний рядок. Якщо команда не повертає результат, відповідний сертифікат за 2023 рік відсутній і оновлення не застосовано, повторно перевірте інструкції з оновлення, перш ніж застосовувати її.

Як перевірка DB, так і перевірка KEK повинні повертати рядок. Успішно оновлена машина показує сертифікат DB 2023 року та сертифікат KEK 2023 року.

Використання mokutil

Примітка.

  • mokutil --db | grep "UEFI CA 2023"
  • CN = Microsoft UEFI CA 2023
  • mokutil --kek | grep "KEK 2K CA 2023"
  • CN = Microsoft Corporation KEK 2K CA 2023

Використання efitools

Примітка

  • efi-readvar -v db | grep "UEFI CA 2023"
  • Microsoft UEFI CA 2023
  • efi-readvar -v KEK | grep "KEK 2K CA 2023"
  • Microsoft Corporation KEK 2K CA 2023

Примітка

  • Якщо 'mokutil' не встановлено, встановіть його зі стандартних сховищ вашого дистрибутива або скористайтеся замість нього 'efi-readvar -v db` / `efi-readvar -v KEK'.
  • Для конфіденційних віртуальних машин не виконуйте оновлення вручну на основі цих вихідних даних – відтворіть віртуальну машину, як описано в рекомендаціях від Azure для конфіденційних віртуальних машин.

LinuxLinux Linux boot chain update

Після успішного оновлення мікропрограми можна безпечно застосовувати оновлення шим-версії від постачальників Linux дистрибутивів.

Інші зауваження щодо Azure ресурсів

AzureAzure resource Створено до квітня 2024 р. Дія, потрібна для TVM Дії, потрібні для CVM
Резервне копіювання/знімок Так Завантаження віртуальної машини, застосування оновлень, повторне захоплення Відтворити CVM, відтворити захоплення
Резервне копіювання/знімок Ні Не потрібно жодних дій Не потрібно жодних дій
Compute Gallery image Так Розгортання, оновлення й повторне захоплення Відтворити CVM, відтворити захоплення
Compute Gallery image Ні Не потрібно жодних дій Не потрібно жодних дій

Моніторинг стану оновлення

Перевірте оновлення через гостьову ОС:

  • Перевірка успішного завантаження після оновлень
  • Переконайтеся, що в мікропрограмі присутні сертифікати безпечного завантаження

Підходи до моніторингу та перевірки можуть відрізнятися залежно від Linux дистрибутиви, тому вам слід звернутися до постачальника дистрибутиву.

Для надійних віртуальних машин для запуску:

  • Усі оновлення мають застосовуватися в правильному порядку.

    Важливо

    Завжди оновлюйте мікропрограму безпечного завантаження (змінні UEFI) перед оновленням шима або завантажувача.

  • Рекомендується спочатку перезавантажити віртуальну машину, щоб переконатися, що на ній інстальовано останню версію мікропрограми, і переконатися в успішності завантаження.

  • Ініціюйте оновлення з операційної системи гостьової віртуальної машини Linux відповідно до рекомендацій та інструментів постачальника дистрибутива.

  • Якщо у вас виникли помилки оновлення KEK або DB і ви не перезавантажили комп'ютер спочатку, перезавантажте віртуальну машину, щоб переконатися, що на ній працює остання версія мікропрограми, і спробуйте оновити KEK і DB ще раз.

  • Якщо оновити шим-код перед оновленням мікропрограми, це може призвести до помилки завантаження.

Для конфіденційних віртуальних машин:

Розгортання оновлень

Оновлення сертифікатів безпечного завантаження для Linux на Azure віртуальних машинах ініціюються з гостьової операційної системи. Ці оновлення залежать від постачальника дистрибутиву, і клієнтам слід спочатку звернутися до постачальника дистрибутиву за рекомендованим методом.

Примітка.

  • У цьому списку наведено лише тих постачальників ОС Linux, які опублікували рекомендації з оновлення сертифікатів безпечного завантаження. Цей список оновлюється, коли інші постачальники публікують свої рекомендації.
  • Якщо постачальника дистрибутива немає в списку, це не означає, що на вашу віртуальну машину це не вплинуло — це означає, що постачальник ще не опублікував рекомендації щодо оновлення KEK і DB безпечного завантаження 2023 року. У такому разі зверніться до постачальника дистрибутиву, щоб дізнатися про рекомендований спосіб, або скористайтесь одним із альтернативних методів оновлення мікропрограми вручну, описаних нижче.

Рекомендації від схвалених постачальників Linux ОС:

Рекомендації від AzureAzure для конфіденційних віртуальних машин:

  • Кількість CVM, створених до квітня 2024 року, дуже низька. Якщо ваша конфіденційна віртуальна машина – одна з небагатьох, яка не має нових сертифікатів, виконайте дії, щоб повторно створити CVM.

Альтернативні методи оновлення прошивки

Примітка.

Перш ніж спробувати оновлення змінних UEFI безпосередньо на виробничих віртуальних машинах, клієнти можуть скористатися шаблоном Azure швидкого запуску для імітації Linux віртуальної машини Trusted Launch зі старішими сертифікатами центру сертифікації UEFI 2011.

Важливо

Методи оновлення мікропрограми вручну, описані в цьому розділі, є альтернативою методології, рекомендованої постачальником дистрибутиву, і взаємовиключними з нею. Використовуйте метод постачальника ОС, коли він доступний (див. Рекомендації від Linux постачальників ОС). Застосовуйте наведені нижче ручні методи, лише якщо постачальник не опублікував відповідні вказівки або явно дав відповідні вказівки. Не застосовуйте метод постачальника та метод вручну до однієї віртуальної машини.  Для оновлення потрібно використовувати лише один альтернативний спосіб (fwupd, efitools або sbsigntools) — не обов'язково запускати всі три.  Кожен дистрибутив Linux пакує різні інструменти та версії, а також через різні репозиторії, тому важливо дотримуватися вказівок, наданих вашою Linux ОС.

Примітка.

Доступність і версії інструментів залежать від поширення та джерела інструментів.

Альтернатива 1. Використання fwupd

Переконайтеся, що на віртуальній машині інстальовано fwupd версії 2.0.8 або пізнішої.

Щоб оновити KEK і DB, виконайте ці команди за допомогою fwupdmgr:

Примітка.

  • sudo fwupdmgr refresh
  • sudo fwupdmgr update

Альтернатива 2: Використання efitools

  • Завантаження пакетів оновлення DB та KEK для AzureAzure.

    Примітка.

    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
  • Перевірте MD5 або SHA1 завантажених двійкових файлів – вони мають точно збігатися з такими даними:

    Примітка.

    • sha1sum *.bin
    • 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
    • d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
    • md5sum *.bin
    • ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
    • 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
  • Використовуйте efi-updatevar для встановлення пакетів оновлень

    Примітка.

    • sudo efi-updatevar -a -f DBUpdate3P2023.bin db
    • sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
    • sudo reboot

Альтернатива 3. Використання sbsigntools

  • Завантажте та перевірте DBUpdate3P2023.bin , KEKUpdate_Microsoft_PK1.bin як описано в розділі "Альтернатива 2: Використання efitools" вище.

  • Скористайтеся утилітою sbkeysync програми sbsigntools, щоб встановити пакети оновлень:

    Примітка.

    • sudo mkdir -p /etc/secureboot/keys/db
    • sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
    • sudo mkdir -p /etc/secureboot/keys/KEK
    • sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
    • sudo chattr -i /sys/firmware/efi/efivars/db-*
    • sudo chattr -i /sys/firmware/efi/efivars/KEK-*
    • sudo sbkeysync --verbose
    • sudo chattr +i /sys/firmware/efi/efivars/db-*
    • sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    • sudo reboot

Кроки для пом'якшення наслідків помилок завантаження

У випадку сценарію помилки, наприклад невдалого завантаження після оновлення змінних інтерфейсу UEFI, можна скинути параметри інтерфейсу UEFI одним із наведених нижче способів.

  1. Відновіть резервну копію, створену перед початком оновлення вручну.
  2. Перетворіть віртуальну машину "Надійний запуск" на віртуальну машину Standard і повторно застосуйте до неї тип безпеки "Надійний запуск". (Докладніше тут: Увімкнення надійного запуску на наявних віртуальних машинах Gen2 - AzureAzure Virtual Machines | Microsoft Learn)
  3. Експортуйте VHD ОС до облікового запису сховища, створіть зображення колекції з VHD та розгорніть віртуальну машину, використовуючи версію образу галереї .

Застереження щодо інформації третіх осіб

Продукти сторонніх виробників, згадані в цій статті, виготовлено незалежними від корпорації Майкрософт компаніями. Ми не надаємо жодних гарантій (непрямих та інших) щодо продуктивності або надійності цих продуктів.

Ми надаємо контактну інформацію сторонніх виробників, щоб допомогти вам отримати технічну підтримку. Ці відомості можуть змінюватися без попередження. Ми не гарантуємо точність наданої контактної інформації сторонніх виробників.

Журнал змін

Змінення дати Змінити опис
29 липня 2026 р. Внесено значні зміни, які внесуть ясність в обов'язкові дії, а також альтернативні методи оновлення мікропрограми.
18 червня 2026 р. Довідкові посилання були додані до розділу "Рекомендації від Linux постачальників ОС".