套用到
Virtual Machine running Linux

原始出版日期: 2026年6月12日

KB ID:5103014

適用於:

Azure 可信啟動虛擬機與機密虛擬機,運行並啟用安全開機的 Linux

如需完整支援可信啟動作業系統清單,請參閱此連結:Azure 虛擬機可信任啟動 - Azure 虛擬機器 |Microsoft Learn

欲了解機密虛擬機所支援作業系統的完整清單,請參閱此連結:關於 Azure 機密虛擬機 |Microsoft Learn

本文內容

簡介

安全開機是 UEFI 韌體的安全功能,確保只有受信任且數位簽章的軟體能在虛擬機開機序列中運行。 2011 年發行的 Microsoft 安全啟動憑證將於 2026 年 6 月開始到期。 

為維持安全開機保護及持續維護早期開機流程,運行 Linux 的 Azure Trusted Launch 必須更新為 Secure Boot 2023 資料庫及虛擬 UEFI 韌體中的 KEK 憑證。 Azure 上的機密虛擬機必須重新建立帶有舊憑證的 Confidential Virtual Machines for Linux。 

如果虛擬機在憑證過期後仍依賴 2011 年的憑證,它仍會繼續開機。 然而,它將不再獲得以 shim 更新、未來憑證及撤銷形式進行的新安全保護。 

找出需要採取行動的情境 

請檢視以下情境以判斷是否需要採取行動: 

  • Linux 2024 年 4 月之前建立的 TVM) ( ( CVM) 的受信任啟動虛擬機

  • Azure 計算庫影像,取自2024年4月前) Linux 信任啟動或機密虛擬機 (舊版

  • 2024 年 4 月之前建立的 Linux 受信任啟動或機密虛擬機的快照或備份

  • 機密虛擬機是在 2024 年 4 月之前由 blobs 建立,匯入為安全磁碟。

2024 年 4 月後建立的受信任啟動與機密虛擬機器,通常已在虛擬 UEFI 韌體中包含 Secure Boot 2023 憑證。

附註: 2024 年 4 月之前建立的 Linux 機密虛擬機不應手動更新,因為機密磁碟加密依賴於基於安全開機變數計算的 vTPM 的 PCR7 值。 若未確保 FDE 金鑰重新封存,更新安全開機憑證會導致機密虛擬機進入復原模式。 建議重建這些舊的機密虛擬機以取得新的憑證。

Azure guest VM 考慮事項 

Azure VM 上的 Linux 安全啟動更新包含兩個組件: 

  • 虛擬韌體中的安全開機憑證 (透過作業系統提供的工具手動安裝,或透過安全更新自動安裝)

  • Linux shim 和 bootloader 更新 (發行版廠商管理的)

更新操作由客戶作業系統內部啟動,並依賴平台支援將認證更新套用於安全開機變數。 

在辨識適用情境後,盤點你的環境以判斷哪些虛擬機需要更新。 

需要的動作 

For all Azure guest VMS:

  • 確認虛擬 UEFI 韌體中是否存在 Secure Boot 2023 憑證

對於可信的啟動虛擬機:

  • 根據發行版廠商建議的指引與工具,在需要時從 Linux 訪客虛擬機作業系統內啟動更新。

  • 對於 Linux 虛擬機,更新必須依照正確順序套用。

    重要: 在更新 shim 或 bootloader 之前,務必先更新 Secure Boot 韌體 (UEFI 變數) 。 

  • 在更新韌體之前先更新墊片可能會導致開機失敗。

對於機密虛擬機:

  • 大多數機密虛擬機已經有新的憑證了。 對於沒有 Secure Boot 2023 憑證的機密虛擬機,請參考下方「Azure 對機密虛擬機的建議」章節中的指引。

部署更新 

Azure 虛擬機上的 Linux 安全啟動憑證更新是從訪客作業系統內部發起的。 這些更新因發行版廠商而異,客戶應先向其發行商確認推薦的方法。  

來自 Linux 作業系統廠商的建議: 

Recommendations by Azure for Confidential VMs:

  • 2024年4月前創建的CVM數量非常少。 如果你的機密虛擬機是少數沒有新憑證的虛擬機之一,請依照步驟重新建立 CVM。

韌體更新方法 

附註: 在直接在生產虛擬機上更新 UEFI 變數之前,客戶可以先使用 Azure 快速啟動範本,模擬使用 2011 年 UEFI CA 憑證的 Linux 受信任啟動虛擬機。

使用 fwupd 

確保虛擬機安裝的是 fwupd 2.0.8 或更新版本。 

要同時更新 KEK 和資料庫,請使用 fwupdmgr 執行以下指令:

Sudo FWUPDMGR 刷新

Sudo FWUPDMGR 更新

使用 efitools 

下載 Azure 的資料庫和 KEK 更新套件。

  • WGET https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

  • WGET https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

    PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

使用 efi-updatevar 來安裝更新套件

sudo efi-updatevar -a -f DBUpdate3P2023.bin db

sudo efi-updatevar -a -f KEKUpdate_Microsoft_PK1.bin KEK

Sudo 重啟

使用 sbsigntools 

下載 Azure 的資料庫和 KEK 更新套件。 

WGET https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

WGET https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/ \

PostSignedObjects/KEK/Microsoft/KEKUpdate_Microsoft_PK1.bin

使用 sbsignaturetools 的 sbkeysync 工具安裝更新套件:

sudo mkdir -p /etc/secureboot/keys/db

sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db

sudo mkdir -p /etc/secureboot/keys/KEK

sudo cp KEKUpdate_Microsoft_PK1.bin /etc/secureboot/keys/KEK

sudo chattr -i /sys/firmware/efi/efivars/db-*

sudo chattr -i /sys/firmware/efi/efivars/KEK-*

sudo sbkeysync --verbose

sudo chattr +i /sys/firmware/efi/efivars/db-*

sudo chattr +i /sys/firmware/efi/efivars/KEK-*

Sudo 重啟

驗證方法 

使用 mokutil 

  • Mokutil --DB |grep「UEFI CA 2023」

  • 莫克提爾 --凱克 |grep「KEK 2K CA 2023」

使用 efitools 

  • EFI-readvar -v db |grep「UEFI CA 2023」

  • efi-readvar -v KEK |grep「KEK 2K CA 2023」

  • ​​​​​​​​​​​​​​

Linux 開機鏈更新 

韌體更新成功後,就可以安全地套用來自 Linux 發行版廠商的 shim 更新。 

其他 Azure 資源考量

Azure resource

2024年4月前建立

TVM 所需行動

CVM 所需行動

備份/快照

啟動虛擬機,套用更新,重新擷取

重建CVM,重新捕獲

備份/快照

不需要任何行動

不需要任何行動

Compute Gallery 影像

部署、更新、重新捕獲

重建CVM,重新捕獲

Compute Gallery 影像

不需要任何行動

不需要任何行動

監控更新狀態 

透過訪客作業系統驗證更新: 

  • 更新後驗證成功開機

  • 確認韌體中是否存在安全開機憑證

監控與驗證方法可能因 Linux 發行版而異,建議你向發行版供應商確認。 

開機失敗時的緩解步驟 

若發生失敗情況,例如在 UEFI 變數更新後開機失敗,你可以使用以下其中一種方法重設 UEFI 設定: 

  1. 還原開始手動更新前取得的備份。

  2. 將受信任啟動虛擬機轉換為 Standard 虛擬機,並在虛擬機上重新套用受信任啟動安全類型。  (更多細節請見:在現有第二代虛擬機上啟用可信啟動 - Azure 虛擬機器 |Microsoft 學習)

  3. 將作業系統的 vhd 匯出到儲存 帳號,從 vhd 建立圖庫映像檔,並用 圖庫映像版本部署虛擬機。

​​​​​​​​​​​​​​協力廠商資訊免責聲明

本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。

我們提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。

Facebook LinkedIn 電子郵件
訂閱 RSS 摘要

需要更多協助嗎?

想要其他選項嗎?

探索訂閱權益、瀏覽訓練課程、瞭解如何保護您的裝置等等。

Microsoft 365 訂閱權益

Microsoft 365 訓練

Microsoft 安全性

協助工具中心