Panduan masa berlaku sertifikat Booting Aman Microsoft

Karena beberapa sertifikat Booting Aman Microsoft akan berakhir masa berlakunya pada tahun 2026, dokumen ini memberikan panduan tentang cara memperbarui instance Shielded VM Compute Engine sehingga instance tersebut mempercayai sertifikat Booting Aman Microsoft yang diperbarui untuk Booting Aman UEFI (Unified Extensible Firmware Interface). Dua sertifikat paling penting yang akan segera berakhir masa berlakunya adalah Microsoft Corporation UEFI CA 2011 (berakhir masa berlakunya pada 27 Juni 2026), yang menandatangani bootloader pihak ketiga (seperti Linux Shim), dan Microsoft Windows Production PCA 2011 (berakhir masa berlakunya pada 19 Oktober 2026), yang menandatangani bootloader Windows.

Booting Aman UEFI adalah standar keamanan yang digunakan Shielded VM untuk memastikan hanya software dan firmware tepercaya yang berjalan selama proses booting VM. Untuk mendukung Booting Aman di berbagai sistem operasi, Microsoft mengelola sertifikat UEFI.

Sertifikat Booting Aman dan tanggal habis masa berlakunya

Jika Anda menggunakan Booting Aman pada instance Compute Engine yang dibuat sebelum 7 November 2025 dan ingin terus menerima update firmware untuk menghindari potensi masalah booting di masa mendatang, instal sertifikat yang diperbarui. Dokumen ini menjelaskan cara mengidentifikasi instance yang terpengaruh dan melakukan update yang diperlukan.

Peluncuran sertifikat baru selesai pada 7 November 2025. Instance yang dibuat pada atau setelah tanggal ini menyertakan sertifikat yang diperbarui dan tidak memerlukan tindakan lebih lanjut. Namun, beberapa instance yang dibuat pada minggu-minggu sebelum tanggal ini mungkin juga menyertakan sertifikat baru. Untuk memeriksa apakah sistem Anda sudah yang terbaru, gunakan perintah yang disediakan di bagian Verifikasi dalam dokumen ini.

Catatan: Masa berlaku sertifikat Booting Aman tidak memengaruhi hal berikut:

• Instance yang tidak menggunakan Platform Configuration Registers (PCR) vTPM untuk penyegelan secret dan tidak mengaktifkan Booting Aman. Booting Aman tidak diaktifkan secara default saat Anda membuat instance Shielded VM.
• Instance yang menjalankan Container-Optimized OS (COS).
• Instance tempat Anda menyediakan Platform Key (PK) atau Key Enrollment Key (KEK) Booting Aman Anda sendiri.

Untuk instance komputasi yang dibuat sebelum 7 November 2025 yang tidak memiliki sertifikat yang diperbarui, ikuti panduan update KEK dan db untuk memperbarui sertifikat. Jika karena alasan apa pun Anda tidak dapat melakukannya, pertimbangkan untuk membuat ulang instance Anda.

Pengaruh habis masa berlaku sertifikat Booting Aman terhadap Shielded VM

Jika diaktifkan, Shielded VM akan menerapkan Booting Aman menggunakan firmware UEFI, yang mempertahankan kumpulan sertifikat tepercaya (dalam variabel db) untuk memverifikasi tanda tangan biner urutan booting. Misalnya, jika update OS mengganti bootloader dengan bootloader yang hanya ditandatangani oleh Microsoft UEFI CA 2023, dan firmware instance komputasi tidak mempercayai otoritas sertifikat ini, verifikasi Booting Aman akan gagal, dan Booting Aman akan menghentikan proses booting.

Untuk mengetahui detail selengkapnya tentang transisi ini, lihat panduan dari Microsoft dan vendor OS lainnya:

• Windows Secure Boot certificate expiration and CA updates - Microsoft Support
• Secure Boot Certificate Changes in 2026: Guidance for RHEL Environments - Red Hat Customer Portal

Dampak sistem operasi

Jika Anda mengaktifkan Booting Aman pada instance Shielded VM yang dibuat sebelum 7 November 2025, sebaiknya pastikan sertifikat 2023 telah diinstal. Jika tidak, instance komputasi mungkin akan mengalami masalah booting setelah update yang berisi bootloader yang hanya ditandatangani oleh sertifikat Microsoft UEFI CA 2023. Jika Anda tidak melakukan tindakan apa pun, Anda mungkin tidak dapat menerapkan update bootloader atau kernel baru yang berisi biner yang hanya ditandatangani dengan sertifikat 2023, sehingga berpotensi membuat sistem lebih rentan terhadap serangan tertentu. Untuk instance komputasi yang dibuat sebelum 7 November 2025: Jika Anda tidak menerapkan update sertifikat sebelum pertengahan tahun 2026, pelanggan Windows mungkin akan melihat ID Peristiwa 1801 ("Secure Boot CA/keys need to be updated") di log peristiwa Sistem.

• Image publik yang disediakan Google: Perbarui sertifikat DB dan KEK dengan mengikuti panduan update KEK dan db. Atau, pertimbangkan untuk membuat ulang VM yang berjalan lama yang dibuat sebelum 7 November 2025.
• Image kustom atau yang diimpor: Sebaiknya pastikan instance yang dibuat menggunakan image Anda mempercayai sertifikat Microsoft UEFI CA 2023. Jika image Anda berisi sertifikat tersemat yang tidak menyertakan sertifikat Microsoft UEFI CA 2023, Anda dapat memperbarui image dengan men-deploy sertifikat yang sesuai, atau Anda dapat mem-build ulang image. Untuk mem-build ulang image, mulai dari image dasar yang disediakan Google dan terapkan kembali penyesuaian Anda. Image yang disediakan Google tidak berisi sertifikat tersemat, sehingga Compute Engine menyediakan sertifikat yang diperbarui saat Anda membuat instance dari image tersebut.

Tindakan yang disarankan

Jika Anda memiliki instance komputasi yang dibuat sebelum 7 November 2025, dengan Booting Aman diaktifkan, atau jika instance tersebut menggunakan software enkripsi disk penuh (FDE) (termasuk BitLocker di Windows dan FDE lainnya di Linux), Virtual Secure Mode (VSM) di Windows, atau menggunakan Platform Configuration Registers (PCR) vTPM untuk penyegelan secret, Anda harus meninjau tindakan yang dijelaskan di bagian berikut. Panduan ini juga berlaku jika Anda melakukan rollback ke image mesin dari sebelum 7 November 2025.

Mengidentifikasi instance komputasi yang terpengaruh dan merencanakan update

Sebaiknya identifikasi instance komputasi yang terpengaruh sebelum 24 Juni 2026, dan lakukan langkah-langkah berikut untuk mempersiapkan update:

1. Mengidentifikasi instance: Anda dapat menggunakan gcloud compute instances list perintah untuk mengidentifikasi instance yang mengaktifkan Booting Aman dan dibuat sebelum tanggal batas:

   gcloud compute instances list \
   --filter="creationTimestamp < '2025-11-07' AND shieldedInstanceConfig.enableSecureBoot=true" \
   --format="table(name, zone, creationTimestamp, shieldedInstanceConfig.enableSecureBoot:label=SECURE_BOOT,shieldedInstanceConfig.enableIntegrityMonitoring:label=INTEGRITY_MONITORING)"
   

2. Memastikan integritas data: Pastikan Anda memiliki cadangan data terbaru dan akses ke kunci pemulihan FDE atau BitLocker sebelum melanjutkan perubahan apa pun.

3. Memperbarui sertifikat: Perbarui sertifikat DB dan KEK dengan mengikuti panduan update KEK dan db. Atau, migrasikan ke instance komputasi yang dibuat pada atau setelah 7 November, 2025, yang menyertakan sertifikat 2023, dengan mengikuti petunjuk di Membuat ulang instance komputasi dari snapshot disk.

Membuat ulang instance komputasi dari snapshot disk

Saat Anda mengambil snapshot disk dan membuat instance baru darinya, instance komputasi baru akan mewarisi status firmware (vTPM/NVRAM) baru yang mempercayai default yang diperbarui dan menghapus sertifikat lama.

Sebelum membuat ulang instance komputasi dari snapshot, pastikan OS tamu telah menginstal semua update yang diperlukan (seperti KB Microsoft yang relevan untuk Windows, atau Shim terbaru untuk distribusi Linux) agar mempercayai sertifikat 2023.

Anda dapat menggunakan urutan perintah gcloud berikut untuk mengelola migrasi ini:

1. Mengidentifikasi boot disk: Tentukan nama boot disk yang terpasang pada instance komputasi sumber Anda:

   SOURCE_DISK=$(gcloud compute instances describe SOURCE_INSTANCE_NAME \
       --zone=ZONE \
       --format="value(disks[0].source.basename())")
   

2. Membuat snapshot disk: Ambil snapshot boot disk tersebut. Untuk integritas data yang optimal, hentikan instance komputasi sebelum menjalankan perintah ini:

   gcloud compute disks snapshot $SOURCE_DISK \
       --snapshot-names="migration-snapshot-$(date +%s)" \
       --zone=ZONE \
       --storage-location=REGION
   

3. Membuat instance komputasi baru: Sediakan instance komputasi baru dengan menggunakan snapshot sebagai sumber booting. Jika Booting Aman diaktifkan pada instance sumber, sertakan flag --shielded-secure-boot untuk mengaktifkan Booting Aman pada instance baru.

   gcloud compute instances create NEW_INSTANCE_NAME \
       --zone=ZONE \
       --machine-type=MACHINE_TYPE \
       --create-disk=name=NEW_DISK_NAME,source-snapshot=SNAPSHOT_NAME,boot=yes \
       --shielded-secure-boot
   

Catatan: Instance yang disediakan menggunakan pendekatan ini akan menerima alamat IP internal dan eksternal baru, kecuali jika dialokasikan secara statis dan ditetapkan ulang secara khusus. Metadata, tag, dan akun layanan tingkat instance tidak direplikasi secara otomatis dan harus dikonfigurasi secara eksplisit selama pembuatan ulang.

Verifikasi

Setelah memperbarui firmware dan OS untuk instance komputasi, Anda dapat memverifikasi bahwa sertifikat 2023 ada. Jika variabel KEK dan db menunjukkan bahwa sertifikat 2023 ada, instance Anda sudah yang terbaru dan tidak diperlukan tindakan lebih lanjut.

Linux

1. Jika efi-readvar tidak ada, instal paket efitools. Untuk menginstal di Linux, jalankan perintah untuk distribusi Anda:

   Debian/Ubuntu

   sudo apt update && sudo apt install efitools
   

   RHEL/CentOS/Fedora

   sudo yum install efitools
   

   SLES

   sudo zypper install efitools
   

2. Periksa sertifikat dalam variabel KEK dan db:

   sudo efi-readvar -v KEK | grep "KEK 2K CA 2023"
   sudo efi-readvar -v db | grep "UEFI CA 2023"
   

Windows (PowerShell)

Jalankan perintah berikut di perintah PowerShell administrator. Setiap perintah harus menampilkan True.

# Check for Microsoft KEK 2K CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

# Check for UEFI CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'UEFI CA 2023'

# Confirm general Secure Boot enrollment state
Confirm-SecureBootUEFI

Pemecahan masalah

Jika instance gagal melakukan booting karena error Booting Aman setelah Juni 2026, coba salah satu opsi berikut untuk memulihkannya:

• Menonaktifkan Booting Aman untuk sementara: Tindakan ini memungkinkan Anda melakukan booting instance untuk menerapkan update.

  Catatan: Menonaktifkan Booting Aman akan mengubah nilai PCR (khususnya PCR7), yang dapat memengaruhi fungsi penyegelan secret atau enkripsi disk.

  Untuk menonaktifkan Booting Aman, jalankan perintah berikut:

  gcloud compute instances update INSTANCE_NAME --no-shielded-secure-boot
  

  Setelah instance melakukan booting, terapkan update sistem operasi dan komponen booting yang diperlukan, lalu aktifkan kembali Booting Aman:

  gcloud compute instances update INSTANCE_NAME --shielded-secure-boot
  

• Memulihkan dari cadangan: Pulihkan instance dari image mesin yang dibuat sebelum masalah booting dimulai.

• Membuat ulang instance: Buat ulang instance dan pulihkan data dari snapshot.

Jika Anda terus mengalami masalah atau memerlukan bantuan, hubungi Cloud Customer Care.

Pertanyaan umum (FAQ)

Bagian ini memberikan jawaban atas pertanyaan umum tentang habis masa berlaku sertifikat Booting Aman Microsoft.

Kapan masa berlaku sertifikat Booting Aman berakhir?

Masa berlaku sertifikat Booting Aman Microsoft akan berakhir pada tahun 2026. Secara khusus:

• Dua sertifikat paling penting yang akan segera berakhir masa berlakunya adalah Microsoft Corporation UEFI CA 2011 (berakhir masa berlakunya pada Juni 2026), yang menandatangani bootloader pihak ketiga (seperti Linux Shim), dan Microsoft Windows Production PCA 2011 (berakhir masa berlakunya pada Oktober 2026), yang menandatangani bootloader Windows.

Apakah masa berlaku sertifikat memengaruhi pelanggan Windows dan Linux?

Ya, masa berlaku sertifikat memengaruhi pelanggan Windows dan Linux.

Siapa yang terpengaruh oleh habis masa berlaku sertifikat?

Masalah ini mungkin hanya memengaruhi pelanggan dengan instance komputasi yang berjalan lama yang dibuat sebelum 7 November 2025. Instance yang terpengaruh mencakup hal berikut:

• VM Linux dan Windows dengan Booting Aman diaktifkan.
• Instance apa pun yang menggunakan Platform Configuration Registers (PCR) Virtual Trusted Platform Module (vTPM) untuk penyegelan secret.
• Instance komputasi Windows yang menggunakan enkripsi disk (BitLocker) atau Virtual Secure Mode (VSM).
• VM Linux yang menggunakan FDE.
• Instance yang melakukan rollback ke image mesin sebelum November 2025.

Siapa yang tidak terpengaruh oleh habis masa berlaku sertifikat?

Anda tidak terpengaruh jika termasuk dalam salah satu kategori berikut:

• Anda tidak menggunakan Booting Aman, penyegelan secret di PCR vTPM, atau enkripsi disk penuh (termasuk BitLocker).
• Anda menggunakan instance Linux Container-Optimized OS (COS).
• Anda menyediakan Platform Key (PK) atau Key Enrollment Key (KEK) Anda sendiri. Jika Anda menggunakan PK atau KEK Anda sendiri, Compute Engine akan menggunakan kunci kustom Anda, sehingga habis masa berlaku sertifikat default tidak akan memengaruhi Anda. Namun, Anda bertanggung jawab untuk mengelola kunci Anda sendiri dan memastikan sertifikat Anda sudah yang terbaru.

Apa yang terjadi jika saya tidak melakukan tindakan apa pun?

Jika Anda tidak melakukan tindakan apa pun, instance Anda akan terus melakukan booting dan beroperasi seperti biasa dengan biner yang ada. Namun, Anda mungkin tidak dapat menerapkan update bootloader atau kernel baru yang berisi biner yang hanya ditandatangani dengan sertifikat 2023, sehingga berpotensi membuat sistem lebih rentan terhadap serangan tertentu. Untuk instance komputasi yang dibuat sebelum 7 November 2025, jika Anda tidak menerapkan update sertifikat sebelum pertengahan tahun 2026, pelanggan Windows mungkin akan melihat ID Peristiwa 1801 ("Secure Boot CA/keys need to be updated") di log peristiwa Sistem.

Apakah kegagalan memperbarui sertifikat akan mencegah instance Windows dimulai?

Tidak. Kegagalan untuk melakukan perbaikan tidak akan mencegah startup sistem Windows. Namun, Anda mungkin akan melihat ID Peristiwa 1801 ("Secure Boot CA/keys need to be updated") di log peristiwa Sistem, dan Anda tidak akan dapat menerapkan update keamanan kernel atau bootloader baru yang berisi biner yang hanya ditandatangani dengan sertifikat 2023 yang baru.

Kondisi spesifik apa yang memicu kegagalan booting di Linux?

Kegagalan booting dapat terjadi di Linux dalam kondisi tertentu:

• Instance mengaktifkan Booting Aman.
• Variabel UEFI db tidak diperbarui untuk mempercayai sertifikat "Microsoft UEFI CA 2023".
• OS mengupdate bootloader (atau shim) yang sangat bergantung pada sertifikat tersebut.

Jika Anda tidak menerapkan update sertifikat atau update shim yang mereferensikan sertifikat baru, instance Linux Anda akan terus melakukan booting dengan berhasil.

Bagaimana cara menentukan apakah instance saya memiliki sertifikat yang diperbarui?

Untuk menentukan apakah instance Anda menyertakan sertifikat baru dalam firmware-nya, lihat perintah yang diuraikan di bagian Verifikasi. Jika sertifikat tidak ada, Anda dapat memperbaruinya dengan mengikuti panduan update KEK dan db, atau membuat ulang instance.

Apakah memulai ulang atau melakukan reboot instance yang terpengaruh dapat menyelesaikan masalah?

Tidak. Memulai ulang atau melakukan reboot instance komputasi tidak akan memperbarui sertifikat booting amannya, tetapi instance akan terus melakukan booting dan beroperasi secara normal dengan sertifikat yang ada hingga update bootloader atau kernel diterapkan yang berisi biner yang hanya ditandatangani dengan sertifikat 2023. Jika Anda memulai ulang instance komputasi, instance tersebut akan mempertahankan sertifikat lama jika awalnya dibuat sebelum 7 November 2025. Sertifikat adalah bagian dari firmware instance (vTPM/NVRAM). Oleh karena itu, Anda harus mengikuti panduan update KEK dan db atau membuat ulang instance untuk menerapkan sertifikat baru.

Bagaimana cara mempersiapkan habis masa berlaku sertifikat?

Untuk mempersiapkan, lakukan langkah-langkah berikut:

• Mengidentifikasi: Audit penggunaan Shielded VM, Booting Aman, FDE, BitLocker, atau software apa pun yang mengandalkan PCR vTPM.
• Kunci pemulihan &cadangan: Pastikan kunci pemulihan (untuk FDE/BitLocker) dan cadangan data terbaru tersedia dengan cepat.
• Mengelola image: Identifikasi image kustom lama dan hentikan penggunaannya atau pastikan image tersebut menyertakan sertifikat baru.
• Memperbarui atau bermigrasi: Jika Anda ingin memperbarui sertifikat, bukan membuat ulang instance, lihat panduan update KEK dan db. Atau, pertimbangkan untuk membuat ulang instance komputasi yang berjalan lama yang dibuat sebelum 7 November 2025, karena instance baru sudah menyertakan sertifikat yang diperlukan.

Apa metode yang direkomendasikan untuk membuat ulang atau memigrasikan instance yang terpengaruh?

Snapshot disk standar memberikan metode yang paling andal. Snapshot adalah salinan tingkat blok dari disk dan tidak berisi variabel UEFI atau metadata tingkat instance. Untuk memulihkan menggunakan snapshot, lakukan hal berikut:

1. Buat snapshot boot disk instance.
2. Buat instance komputasi baru dan pilih snapshot sebagai sumber untuk boot disk.

Anda tidak boleh menggunakan image mesin, kloning instance, atau Layanan Cadangan dan DR untuk migrasi ini karena image mesin dan kloning instance mereplikasi firmware instance dan mempertahankan sertifikat lama untuk instance komputasi sumber yang dibuat sebelum 7 November 2025.

Apa yang harus saya lakukan jika sistem berhenti melakukan booting setelah Juni 2026?

Jika Anda yakin masalah ini menyebabkan kegagalan booting, lihat Pemecahan masalah.

Bagaimana cara Google Cloud menangani habis masa berlaku sertifikat Booting Aman Microsoft?

Google Cloud secara otomatis menyertakan sertifikat baru untuk instance komputasi yang dibuat setelah 7 November 2025. Hanya pelanggan yang ingin menjalankan instance komputasi mereka yang dibuat sebelum 7 November 2025 yang mungkin perlu menerapkan update di masa mendatang, tetapi sebaiknya migrasikan ke instance yang dibuat pada atau setelah 7 November 2025.

Langkah berikutnya

• Pelajari Shielded VM lebih lanjut.
• Pelajari cara mengubah opsi Shielded VM.
• Pelajari Booting Aman lebih lanjut.