Cập nhật chứng chỉ Khởi động an toàn cho Linux trên máy ảo Azure

Áp dụng cho
Virtual Machine running Linux

Lưu ý

  • Ngày phát hành ban đầu: Ngày 12 tháng 6 năm 2026
  • ID KB: 5103014

Lưu ý

Trong bài viết này

Giới thiệu

Khởi động An toàn là một tính năng bảo mật vi chương trình UEFI giúp đảm bảo rằng chỉ phần mềm được ký điện tử đáng tin cậy chạy trong chuỗi khởi động máy ảo. Chứng chỉ Khởi động An toàn của Microsoft được cấp vào năm 2011 sẽ bắt đầu hết hạn vào tháng 6 năm 2026.

Để duy trì tính năng bảo vệ Khởi động An toàn và tiếp tục cung cấp dịch vụ cho quá trình khởi động sớm, Azure Khởi chạy Đáng tin cậy chạy Linux phải được cập nhật chứng chỉ Khởi động An toàn 2023 DB và KEK trong vi chương trình UEFI ảo. Máy Ảo Bảo mật cho Linux mật Azure chứng chỉ cũ phải được tạo lại.

Nếu một máy ảo tiếp tục dựa vào chứng chỉ 2011 sau khi hết hạn, nó sẽ tiếp tục khởi động. Tuy nhiên, thiết bị sẽ không còn nhận được các bảo vệ bảo mật mới dưới dạng các bản cập nhật shim cũng như các chứng chỉ và thu hồi trong tương lai. Khách hàng có máy ảo không có chứng chỉ cập nhật nên tiếp tục làm việc với nhà cung cấp distro của họ để cập nhật chứng chỉ của họ ngay cả sau ngày hết hạn.

Xác định các kịch bản yêu cầu hành động

Xem lại các kịch bản sau đây để xác định xem có cần phải hành động hay không:

  • Linux máy ảo Khởi chạy Tin cậy (TVM) hoặc Máy ảo Bảo mật (CVM) được tạo trước tháng 4 năm 2024
  • Azure ảnh Bộ sưu tập Tính toán được chụp từ các máy ảo cũ hơn (trước tháng 4 năm 2024) Linux ra tin cậy hoặc máy ảo bảo mật
  • Ảnh chụp nhanh hoặc bản sao lưu Linux khởi chạy tin cậy hoặc máy ảo bí mật được tạo trước tháng 4 năm 2024
  • Các máy ảo bí mật được tạo trước tháng 4 năm 2024 từ blobs, được nhập dưới dạng đĩa an toàn.

Khởi chạy Tin cậy và Máy Ảo Bảo mật được tạo sau tháng 4 năm 2024 thường đã bao gồm chứng chỉ Khởi động An toàn 2023 trong vi chương trình UEFI ảo.

Lưu ý

Linux Các máy ảo mật được tạo trước tháng 4 năm 2024 không được cập nhật theo cách thủ công vì Mã hóa Ổ đĩa Bảo mật dựa vào giá trị PCR7 của vTPM được tính toán dựa trên các biến khởi động an toàn. Việc cập nhật chứng chỉ khởi động an toàn mà không đảm bảo khóa FDE niêm phong lại sẽ khiến máy ảo bí mật chuyển sang chế độ phục hồi. Chúng tôi khuyên bạn nên tạo lại các máy ảo bảo mật cũ như vậy để có được chứng chỉ mới.

Azure máy ảo khách mời

Bản cập nhật Khởi động An toàn Linux trên Azure VM của bạn liên quan đến hai cấu phần:

  • Chứng chỉ Khởi động An toàn trong vi chương trình ảo (được cài đặt thủ công thông qua công cụ được cung cấp trong HĐH hoặc tự động thông qua Bản cập nhật bảo mật)
  • Linux cập nhật shim và bootloader (nhà cung cấp distro được quản lý)

Hoạt động cập nhật được khởi tạo từ bên trong hệ điều hành khách và dựa vào hỗ trợ nền tảng để áp dụng các bản cập nhật được xác thực cho các biến Khởi động An toàn.

Sau khi xác định các kịch bản áp dụng, hãy kiểm kê môi trường của bạn để xác định máy ảo nào yêu cầu cập nhật.

Cần phải hành động

Đối với tất cả Azure máy ảo khách:

  • Xác minh xem chứng chỉ Khởi động An toàn 2023 có trong vi chương trình UEFI ảo hay không

Phương pháp xác minh

Chạy các lệnh này sau khi cập nhật và khởi động lại. Trên máy ảo đã cập nhật thành công, mỗi lệnh trả về một đường khớp. Nếu lệnh không trả về kết quả đầu ra, chứng chỉ 2023 tương ứng sẽ không xuất hiện và bản cập nhật chưa được áp dụng—hãy kiểm tra lại các bước cập nhật trước khi áp dụng.

Cả hai kiểm tra DB và KEK phải trả về một dòng. Máy đã cập nhật thành công hiển thị chứng chỉ DB 2023 và chứng chỉ KEK 2023.

Sử dụng mokutil

Lưu ý

  • mokutil --db | grep "UEFI CA 2023"
  • CN = Microsoft UEFI CA 2023
  • mokutil --kek | grep "KEK 2K CA 2023"
  • CN = Microsoft Corporation KEK 2K CA 2023

Sử dụng efitools

Ghi chú

  • efi-readvar -v db | grep "UEFI CA 2023"
  • Microsoft UEFI CA 2023
  • efi-readvar -v KEK | grep "KEK 2K CA 2023"
  • Microsoft Corporation KEK 2K CA 2023

Ghi chú

  • Nếu 'mokutil' không được cài đặt, hãy cài đặt nó từ kho tiêu chuẩn của phân phối, hoặc sử dụng 'efi-readvar -v db` / `efi-readvar -v KEK' thay vào đó.
  • Đối với các máy ảo bí mật, không chạy bản cập nhật thủ công dựa trên đầu ra này—tạo lại máy ảo như được mô tả trong Đề xuất bằng cách Azure cho các máy ảo bảo mật.

Linux cập nhật chuỗi khởi động

Sau khi cập nhật vi chương trình thành công, nó là an toàn để áp dụng các bản cập nhật shim từ các nhà cung Linux cấp dịch vụ phân phối.

Các cân Azure nguyên khác

Azure tài nguyên Được tạo trước tháng 4 năm 2024 Hành động cần thiết cho TVM Hành động bắt buộc đối với CVM
Sao lưu/chụp nhanh Khởi động máy ảo, áp dụng các bản cập nhật, tái chiếm Tạo lại CVM, tái chiếm
Sao lưu/chụp nhanh Không Không cần hành động nào Không cần hành động nào
Ảnh Bộ sưu tập Điện toán Triển khai, cập nhật, tái chiếm Tạo lại CVM, tái chiếm
Ảnh Bộ sưu tập Điện toán Không Không cần hành động nào Không cần hành động nào

Theo dõi trạng thái cập nhật

Xác minh các bản cập nhật thông qua hệ điều hành khách:

  • Xác thực khởi động thành công sau khi cập nhật
  • Xác nhận chứng chỉ Khởi động An toàn có trong vi chương trình

Phương pháp theo dõi và xác thực có thể khác nhau Linux phân phối và bạn nên kiểm tra với nhà cung cấp phân phối của mình.

Đối với máy ảo khởi chạy đáng tin cậy:

  • Tất cả các bản cập nhật phải được áp dụng theo đúng thứ tự.

    Quan trọng

    Luôn cập nhật vi chương trình Khởi động An toàn (biến UEFI) trước khi cập nhật shim hoặc bộ nạp khởi động.

  • Bạn nên khởi động lại máy ảo trước để đảm bảo máy ảo đang chạy vi chương trình mới nhất và xác minh khởi động thành công.

  • Khởi tạo các bản cập nhật từ bên Linux hệ điều hành máy ảo khách mà được yêu cầu theo hướng dẫn và công cụ được đề xuất của nhà cung cấp distro của bạn.

  • Nếu bạn gặp lỗi cập nhật KEK hoặc DB và bạn không khởi động lại trước, hãy khởi động lại máy ảo của bạn để đảm bảo rằng máy ảo đó đang chạy vi chương trình mới nhất và thử cập nhật lại KEK và DB.

  • Việc cập nhật shim trước khi cập nhật vi chương trình đầu tiên có thể dẫn đến lỗi khởi động.

Đối với các máy ảo bí mật:

  • Hầu hết các máy ảo bí mật đều có chứng chỉ mới. Đối với các máy ảo bảo mật không có chứng chỉ Khởi động An toàn 2023 có sẵn, hãy làm theo hướng dẫn bên dưới trong mục Đề xuất Azure các máy ảo bảo mật.

Triển khai bản cập nhật

Bản cập nhật chứng chỉ Khởi động An toàn Linux trên Azure máy ảo mới được khởi tạo từ bên trong hệ điều hành khách. Các bản cập nhật này khác với nhà cung cấp distro và khách hàng nên kiểm tra với nhà cung cấp distro trước tiên theo phương pháp được đề xuất.

Lưu ý

  • Chỉ các nhà cung Linux hệ điều hành đã phát hành hướng dẫn cập nhật chứng chỉ Khởi động An toàn được liệt kê ở đây. Danh sách này được cập nhật khi nhà cung cấp bổ sung phát hành hướng dẫn của họ.
  • Nếu nhà cung cấp của phân phối của bạn không được liệt kê, điều đó không có nghĩa là máy ảo của bạn không bị ảnh hưởng—điều đó có nghĩa là nhà cung cấp chưa phát hành hướng dẫn cập nhật an toàn cho phiên bản 2023 KEK và DB. Trong trường hợp đó, hãy liên hệ với nhà cung cấp phân phối của bạn để biết phương pháp được đề xuất hoặc sử dụng một trong các phương pháp cập nhật vi chương trình thay thế thủ công được mô tả bên dưới.

Khuyến nghị từ endorsed Linux hệ điều hành nhà cung cấp:

Các đề xuất của Azure cho các máy ảo bí mật:

  • Số lượng CVM được tạo trước tháng 4 năm 2024 là rất thấp. Nếu máy ảo bảo mật của bạn là một trong số ít không có chứng chỉ mới, hãy làm theo các bước để tạo lại CVM.

Các phương pháp cập nhật vi chương trình thay thế

Lưu ý

Trước khi thử cập nhật biến UEFI trực tiếp trên máy ảo sản xuất, khách hàng có thể sử dụng mẫu bắt đầu nhanh Azure để mô phỏng máy ảo khởi chạy tin cậy Linux với chứng chỉ CA UEFI cũ hơn 2011.

Quan trọng

Các phương pháp cập nhật vi chương trình thủ công trong phần này là một thay thế cho, và loại trừ lẫn nhau với phương pháp luận đề xuất của nhà cung cấp phân phối của bạn. Sử dụng phương pháp của nhà cung cấp HĐH của bạn bất cứ khi nào có sẵn trước (xem Đề xuất từ nhà cung cấp Linux hệ điều hành). Sử dụng các phương pháp thủ công dưới đây chỉ khi nhà cung cấp của bạn chưa phát hành hướng dẫn, hoặc khi nhà cung cấp của bạn một cách rõ ràng hướng dẫn bạn đến. Không áp dụng cả hai phương pháp nhà cung cấp và một phương pháp thủ công cho cùng một máy ảo.  Bạn chỉ cần sử dụng một phương pháp thay thế cho các bản cập nhật (fwupd, efitools hoặc sbsigntools)—bạn không cần chạy cả ba.  Mỗi Linux các gói distro khác nhau công cụ và phiên bản và thông qua các kho khác nhau, vì vậy điều quan trọng là phải làm theo các hướng dẫn được cung cấp bởi hệ điều hành Linux bạn.

Lưu ý

Tính khả dụng của công cụ và các phiên bản khác nhau theo phân phối và nguồn công cụ.

Thay thế 1: Sử dụng fwupd

Đảm bảo rằng máy ảo đã cài đặt fwupd phiên bản 2.0.8 trở lên.

Để cập nhật cả KEK và DB, hãy chạy các lệnh này với fwupdmgr:

Lưu ý

  • sudo fwupdmgr refresh
  • sudo fwupdmgr update

Thay thế 2: Sử dụng efitools

  • Tải xuống các gói cập nhật DB và KEK dành Azure.

    Lưu ý

    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    • wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/\
    • PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin
  • Xác minh MD5 hoặc SHA1 của các tệp nhị phân đã tải xuống—chúng phải khớp chính xác với nội dung sau:

    Lưu ý

    • sha1sum *.bin
    • 87cc5bb2efe9b59c6ad9f717a78e190bf1a191e8 DBUpdate3P2023.bin
    • d9a2fa28017653c26afc3d1b5c001adae9dc16a6 KEKUpdate_Microsoft_PK1.bin
    • md5sum *.bin
    • ef9fd1874610c2077f4c2476661ea4cd DBUpdate3P2023.bin
    • 5e67b7beafac7801fd920e40e3592611 KEKUpdate_Microsoft_PK1.bin
  • Sử dụng efi-updatevar để cài đặt các gói cập nhật

    Lưu ý

    • sudo efi-updatevar -a -f DBUpdate3P2023.bin db
    • sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK
    • sudo reboot

Alternative 3: Using sbsigntools

  • Tải xuống và xác DBUpdate3P2023.bin minh và KEKUpdate_Microsoft_PK1.bin theo mô tả trong "Alternative 2: Using efitools" ở trên.

  • Sử dụng tiện ích sbkeysync của sbsigntools để cài đặt các gói cập nhật:

    Lưu ý

    • sudo mkdir -p /etc/secureboot/keys/db
    • sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db
    • sudo mkdir -p /etc/secureboot/keys/KEK
    • sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK
    • sudo chattr -i /sys/firmware/efi/efivars/db-*
    • sudo chattr -i /sys/firmware/efi/efivars/KEK-*
    • sudo sbkeysync --verbose
    • sudo chattr +i /sys/firmware/efi/efivars/db-*
    • sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    • sudo reboot

Các bước giảm thiểu trong trường hợp không khởi động được

Trong trường hợp xảy ra lỗi chẳng hạn như lỗi khởi động sau khi cập nhật biến UEFI, bạn có thể đặt lại cài đặt UEFI bằng cách sử dụng một trong các phương pháp dưới đây:

  1. Khôi phục bản sao lưu được thực hiện trước khi bắt đầu quy trình cập nhật thủ công.
  2. Chuyển đổi Máy ảo Khởi chạy Tin cậy Standard máy ảo và áp dụng lại kiểu bảo mật Khởi chạy Tin cậy trên máy ảo. (Xem thêm chi tiết tại đây: Bật Khởi chạy tin cậy trên máy ảo Gen2 hiện có - Azure Ảo | Microsoft Learn)
  3. Xuất OS vhd sang tài khoản lưu trữ, tạo hình ảnh bộ sưu tập từ vhd và triển khai máy ảo bằng phiên bản hình ảnh bộ sưu tập.

Tuyên bố từ chối trách nhiệm thông tin của bên thứ ba

Các sản phẩm của bên thứ ba thảo luận trong bài viết này được sản xuất bởi những công ty độc lập với Microsoft. Chúng tôi không đưa ra sự đảm bảo, dù là ngụ ý hay theo một hình thức khác, về hiệu suất hoặc mức độ tin cậy của những sản phẩm này.

Chúng tôi cung cấp thông tin liên hệ của bên thứ ba để giúp bạn tìm kiếm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ của bên thứ ba này.

Nhật ký thay đổi

Thay đổi ngày Thay đổi mô tả
Ngày 29 tháng 7 năm 2026 Các hiệu đính chính để thêm độ rõ cho các hành động bắt buộc và phương pháp cập nhật vi chương trình thay thế.
Ngày 18 tháng 6 năm 2026 Các liên kết tham khảo đã được thêm vào mục "Đề xuất từ các nhà cung Linux hệ điều hành mới".