Panduan masa berlaku sertifikat Booting Aman Microsoft

Dokumen ini memberikan panduan tentang cara mengupdate instance Shielded VM Compute Engine agar instance tersebut memercayai sertifikat Booting Aman Microsoft yang diupdate untuk Booting Aman UEFI (Unified Extensible Firmware Interface).

Booting Aman UEFI adalah standar keamanan yang digunakan Shielded VM untuk memastikan bahwa hanya software dan firmware tepercaya yang berjalan selama proses booting VM. Untuk mendukung Boot Aman di berbagai sistem operasi, Microsoft mengelola sertifikat berikut.

Masa berlaku sertifikat Booting Aman berakhir

Nama sertifikat Peran Tanggal habis masa berlaku
Microsoft Corporation UEFI CA 2011 Menandatangani bootloader pihak ketiga (misalnya, Linux Shim) 27 Juni 2026
Microsoft Windows Production PCA 2011 Menandatangani bootloader Windows 19 Oktober 2026
Microsoft Corporation KEK CA 2011 Digunakan untuk memperbarui DB dan DBX 24 Juni 2026

Untuk menghindari potensi masalah booting, jika Anda menggunakan Booting Aman di instance Compute Engine yang dibuat sebelum 7 November 2025, Anda harus memastikan instance Anda telah menginstal sertifikat yang diupdate. Update ini sama pentingnya untuk instance komputasi yang menggunakan software enkripsi disk penuh (FDE), termasuk BitLocker, atau penyegelan rahasia ke Platform Configuration Registers (PCR) vTPM. Panduan ini menguraikan cara mengidentifikasi instance yang terpengaruh dan melakukan update yang diperlukan.

Instance Compute yang dibuat pada atau setelah 7 November 2025, menyertakan sertifikat yang diperbarui dan tidak memerlukan tindakan lebih lanjut. Selain itu, masa berlaku sertifikat Secure Boot tidak memengaruhi hal berikut:

  • Instance yang tidak menggunakan Register Konfigurasi Platform (PCR) vTPM untuk penyegelan rahasia dan tidak mengaktifkan Booting Aman. Booting Aman tidak diaktifkan secara default saat Anda membuat instance Shielded VM.
  • Instance yang menjalankan Container-Optimized OS (COS).
  • Instance tempat Anda menyediakan Secure Boot Platform Key (PK) atau Key Enrollment Key (KEK) Anda sendiri.

Untuk instance komputasi yang dibuat sebelum 7 November 2025, rekomendasi utamanya adalah memigrasikan instance ini ke instance baru yang dibuat pada atau setelah tanggal ini. Untuk instance komputasi yang tidak dapat Anda buat ulang, Google berencana memberikan petunjuk update manual dalam dokumen ini saat petunjuk tersebut tersedia.

Pengaruh masa berlaku sertifikat Booting Aman terhadap Shielded VM

Jika diaktifkan, Shielded VM akan menerapkan Booting Aman menggunakan firmware UEFI, yang mempertahankan serangkaian sertifikat tepercaya (dalam variabel db) untuk memverifikasi tanda tangan biner urutan booting. Misalnya, jika update OS mengganti bootloader dengan bootloader yang hanya ditandatangani oleh Microsoft UEFI CA 2023, dan firmware instance komputasi tidak memercayai certificate authority ini, verifikasi Booting Aman akan gagal, dan Booting Aman akan menghentikan proses booting.

Untuk mengetahui detail selengkapnya tentang transisi ini, lihat panduan dari Microsoft dan vendor OS lainnya:

Dampak sistem operasi

Jika Anda mengaktifkan Booting Aman pada instance Shielded VM yang dibuat sebelum 7 November 2025, Anda harus memastikan OS tamu memercayai sertifikat Microsoft UEFI CA 2023. Jika Anda tidak menginstal sertifikat baru, instance komputasi mungkin mengalami masalah booting setelah update yang berisi bootloader yang hanya ditandatangani oleh sertifikat 2023. Jika Anda tidak melakukan tindakan apa pun, Anda mungkin tidak dapat menerapkan update kernel atau bootloader baru yang berisi biner yang hanya ditandatangani dengan sertifikat 2023, sehingga berpotensi membuat sistem lebih rentan terhadap serangan tertentu. Untuk instance komputasi yang dibuat sebelum 7 November 2025, jika Anda tidak menerapkan pembaruan sertifikat sebelum pertengahan tahun 2026, pelanggan Windows mungkin melihat ID Peristiwa 1801 ("CA/kunci Secure Boot perlu diperbarui") di log peristiwa Sistem.

  • Image publik yang disediakan Google: Sebaiknya buat ulang instance komputasi. Membuat ulang instance memastikan bahwa instance menggunakan firmware, sertifikat, dan konfigurasi OS terbaru secara default.
  • Update manual: Jika Anda tidak dapat membuat ulang instance, Anda tidak dapat mengupdate firmware instance dengan sertifikat baru. Anda harus menunggu Google memberikan petunjuk update manual.
  • Gambar kustom atau yang diimpor: Anda harus memastikan gambar Anda memercayai sertifikat Microsoft UEFI CA 2023. Untuk memastikan kepercayaan ini, bangun kembali image kustom Anda dengan menggunakan image dasar yang disediakan Google, atau deploy sertifikat yang sesuai secara manual.

Tindakan yang diperlukan

Jika Anda memiliki instance komputasi yang dibuat sebelum 7 November 2025, dengan Boot Aman diaktifkan, atau jika instance tersebut menggunakan software enkripsi disk penuh (FDE) (termasuk BitLocker di Windows dan FDE lainnya di Linux), Mode Aman Virtual (VSM) di Windows, atau penyegelan rahasia di vTPM Platform Configuration Registers (PCR), Anda harus melakukan tindakan yang dijelaskan di bagian berikut. Panduan ini juga berlaku jika Anda melakukan roll back ke image mesin dari sebelum 7 November 2025.

Penting: Jika Anda menggunakan software enkripsi disk penuh (FDE), termasuk BitLocker, pastikan Anda memiliki akses ke kunci pemulihan Anda sebelum melakukan perubahan apa pun.

Mengidentifikasi instance komputasi yang terpengaruh dan merencanakan update

Sebelum 24 Juni 2026, sebaiknya identifikasi instance komputasi yang terpengaruh, dan lakukan langkah-langkah berikut untuk bersiap menghadapi update:

  1. Mengidentifikasi instance: Anda dapat menggunakan perintah gcloud compute instances list untuk mengidentifikasi instance yang mengaktifkan Boot Aman dan dibuat sebelum tanggal batas waktu:

    gcloud compute instances list \
--filter="creationTimestamp < '2025-11-07' AND shieldedInstanceConfig.enableSecureBoot=true" \
--format="table(name, zone, creationTimestamp, shieldedInstanceConfig.enableSecureBoot:label=SECURE_BOOT)"

  2. Pastikan integritas data: Pastikan Anda memiliki cadangan data terbaru dan akses ke kunci pemulihan BitLocker atau enkripsi disk penuh (FDE) sebelum Anda melanjutkan perubahan apa pun.

  3. Rekomendasi: Lakukan migrasi ke instance komputasi yang dibuat pada atau setelah 7 November 2025, yang mencakup sertifikat yang diperlukan.

  4. Petunjuk update manual: Google berencana memberikan petunjuk untuk mengupdate sertifikat secara manual pada instance yang berjalan lama di halaman ini setelah pengujian selesai dan perintah yang diperlukan tersedia. Google tidak merekomendasikan upgrade sertifikat db atau KEK secara manual untuk saat ini. Tunggu petunjuk tambahan.

Verifikasi

Setelah mengupdate firmware dan OS untuk instance komputasi, Anda dapat memverifikasi bahwa sertifikat 2023 ada.

Linux

  1. Jika efi-readvar tidak ada, instal paket efitools. Untuk menginstal di Linux, jalankan perintah untuk distribusi Anda:

    Debian/Ubuntu

    sudo apt update && sudo apt install efitools

    RHEL/CentOS/Fedora

    sudo yum install efitools

    SLES

    sudo zypper install efitools

  2. Periksa sertifikat dalam variabel KEK dan db:

sudo efi-readvar -v KEK | grep "KEK 2K CA 2023"
sudo efi-readvar -v db | grep "UEFI CA 2023"

Windows (PowerShell)

Jalankan perintah berikut di command prompt PowerShell administrator. Setiap perintah harus menampilkan True.

# Check for Microsoft KEK 2K CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

# Check for UEFI CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'UEFI CA 2023'

Pemecahan masalah

Jika instance gagal di-boot karena error Booting Aman setelah Juni 2026, Anda dapat mencoba salah satu opsi berikut untuk memulihkannya:

  • Menonaktifkan Secure Boot untuk sementara: Tindakan ini memungkinkan Anda mem-booting instance untuk menerapkan update.

    Catatan: Menonaktifkan Boot Aman akan mengubah nilai PCR (khususnya PCR7), yang dapat memengaruhi fungsi penyegelan rahasia atau enkripsi disk.

    Untuk menonaktifkan Secure Boot, jalankan perintah berikut:

    gcloud compute instances update INSTANCE_NAME --no-shielded-secure-boot

    Setelah instance melakukan booting, terapkan update sistem operasi dan komponen booting yang diperlukan, lalu aktifkan kembali Boot Aman:

    gcloud compute instances update INSTANCE_NAME --shielded-secure-boot

  • Pulihkan dari cadangan: Pulihkan instance dari image mesin yang dibuat sebelum masalah booting dimulai.

  • Buat ulang instance: Buat ulang instance dan pulihkan data dari snapshot.

Jika Anda masih mengalami masalah atau memerlukan bantuan, hubungi Cloud Customer Care.

Pertanyaan Umum (FAQ)

Bagian ini memberikan jawaban atas pertanyaan umum tentang masa berlaku sertifikat Microsoft Secure Boot.

Kapan masa berlaku sertifikat Booting Aman berakhir?

Masa berlaku sertifikat Booting Aman Microsoft akan berakhir pada tahun 2026. Secara khusus:

  • Dua sertifikat paling penting yang mendekati akhir masa pakainya adalah Microsoft Corporation UEFI CA 2011 (berakhir masa berlakunya pada Juni 2026), yang menandatangani bootloader pihak ketiga (seperti Linux Shim), dan Microsoft Windows Production PCA 2011 (berakhir masa berlakunya pada Oktober 2026), yang menandatangani bootloader Windows.

Apakah masa berlaku memengaruhi pelanggan Windows dan Linux?

Ya, masa berlaku memengaruhi pelanggan Windows dan Linux.

Siapa yang terpengaruh oleh masa berlaku sertifikat yang berakhir?

Masalah ini mungkin hanya memengaruhi pelanggan dengan instance komputasi yang berjalan lama dan dibuat sebelum 7 November 2025. Instance yang terpengaruh meliputi:

  • VM Linux dan Windows dengan Booting Aman diaktifkan.
  • Semua instance yang menggunakan Virtual Trusted Platform Module (vTPM) Platform Configuration Registers (PCR) untuk penyegelan rahasia.
  • Instance komputasi Windows yang menggunakan enkripsi disk (BitLocker) atau Virtual Secure Mode (VSM).
  • VM Linux yang menggunakan enkripsi disk penuh (FDE).
  • Instance yang di-roll back ke image mesin sebelum November 2025.

Siapa yang tidak terpengaruh oleh masa berlaku sertifikat yang berakhir?

Anda tidak terpengaruh jika termasuk dalam salah satu kategori berikut:

  • Anda tidak menggunakan Booting Aman, penyegelan secret di PCR vTPM, atau enkripsi disk penuh (termasuk BitLocker).
  • Anda menggunakan instance Linux Container-Optimized OS (COS).
  • Anda menyediakan Kunci Platform (PK) atau Kunci Pendaftaran Kunci (KEK) Anda sendiri. Jika Anda menggunakan PK atau KEK sendiri, Compute Engine akan menggunakan kunci kustom Anda, sehingga masa berlaku sertifikat default tidak akan memengaruhi Anda. Namun, Anda bertanggung jawab untuk mengelola kunci Anda sendiri dan memastikan sertifikat Anda selalu terbaru.

Apa yang terjadi jika saya tidak mengambil tindakan?

Jika Anda tidak melakukan tindakan apa pun, Anda mungkin tidak dapat menerapkan update kernel atau bootloader baru yang berisi biner yang hanya ditandatangani dengan sertifikat 2023, sehingga berpotensi membuat sistem lebih rentan terhadap serangan tertentu. Untuk instance komputasi yang dibuat sebelum 7 November 2025, jika Anda tidak menerapkan pembaruan sertifikat sebelum pertengahan tahun 2026, pelanggan Windows mungkin melihat ID Peristiwa 1801 ("CA/kunci Secure Boot perlu diperbarui") di log peristiwa Sistem.

Bagaimana cara mempersiapkan masa berlaku sertifikat yang akan berakhir?

Untuk bersiap, lakukan langkah-langkah berikut:

  • Identifikasi: Audit penggunaan Shielded VM, Booting Aman, enkripsi disk penuh (FDE), BitLocker, atau software apa pun yang mengandalkan PCR vTPM.
  • Kunci pemulihan & cadangan: Pastikan ketersediaan kunci pemulihan (untuk FDE/BitLocker) dan cadangan data terbaru dengan cepat.
  • Mengelola image: Identifikasi image kustom lama dan hentikan penggunaannya atau pastikan image tersebut menyertakan sertifikat baru.
  • Migrasi: Pertimbangkan untuk membuat ulang instance komputasi yang berjalan lama yang dibuat sebelum 7 November 2025, karena instance baru sudah menyertakan sertifikat yang diperlukan.
  • Catatan: Google tidak merekomendasikan upgrade sertifikat secara manual saat ini. Tunggu petunjuk selanjutnya dari Google yang akan kami publikasikan dalam dokumen ini.

Apa yang harus saya lakukan jika sistem saya berhenti melakukan booting setelah Juni 2026?

Jika Anda yakin masalah ini menyebabkan kegagalan booting, lihat Pemecahan masalah.

Bagaimana cara Google Cloud menangani masa berlaku sertifikat Microsoft Secure Boot yang telah berakhir?

Google Cloud secara otomatis menyertakan sertifikat baru untuk instance komputasi yang dibuat setelah 7 November 2025. Hanya pelanggan yang ingin menjalankan instance komputasi yang dibuat sebelum 7 November 2025 yang mungkin perlu menerapkan update manual di masa mendatang, tetapi Google merekomendasikan migrasi ke instance yang dibuat pada atau setelah 7 November 2025.

Langkah berikutnya