Ce document explique comment mettre à jour les variables de la base de données de signatures autorisées (db) et de la clé d'échange de clés (KEK) sur les instances de calcul que vous avez créées avant le 7 novembre 2025 pour approuver les certificats mis à jour pour le démarrage sécurisé.
La mise à jour de la KEK et de la base de données est une alternative pour les clients qui ne recréent pas leurs instances de calcul concernées.
Remarque sur les exigences de redémarrage : Contrairement à Windows, Linux ne nécessite pas de redémarrage du système pour que les mises à jour de signature de la KEK et de la base de données soient écrites dans les variables UEFI. Linux écrit immédiatement les mises à jour dans la NVRAM ou le stockage du micrologiciel lors de l'exécution de la commande.
Avant de commencer
Avant de mettre à jour vos certificats de démarrage sécurisé KEK et de base de données, vérifiez si vos instances nécessitent une mise à jour et effectuez les préparatifs suivants pour éviter tout problème de démarrage ou de déchiffrement :
- Vérification des prérequis : vérifiez que vos instances nécessitent une mise à jour des certificats de démarrage sécurisé.
- Intégrité des données et récupération des clés : localisez vos clés de récupération de chiffrement de disque (BitLocker ou LUKS FDE) et sauvegardez les données critiques. La modification des variables de sécurité peut bloquer l'accès aux disques si la configuration est incorrecte.
- Recommandation de séquençage des mises à jour Linux : pour les instances Linux, nous vous recommandons de mettre à jour la variable UEFI
dbvers Microsoft UEFI CA 2023 avant de passer à de nouveaux shims. Ce séquençage permet d'éviter un scénario potentiel d'incompatibilité de l'autorité de certification si une mise à jour de shim signée uniquement avec Microsoft UEFI CA 2023 est appliquée alors que la base de données ne contient que le certificat 2011.
Mettre à jour la base de données et la KEK sur Linux à l'aide de fwupd
Les versions fwupdmgr 2.0.10 ou ultérieures sont compatibles avec cette méthode. Vérifiez votre version en exécutant sudo fwupdmgr --version.
Remarque sur RHEL 8/9 : Les dépôts d'entreprise pour RHEL 8/9 fournissent des versions antérieures de fwupdmgr (RHEL 8 comprend la version 1.7.8 et RHEL 9 la version 1.9.13), qui ne répondent pas au seuil de version requis. Si vous exécutez RHEL 8/9, vous devez effectuer l'une des opérations suivantes : compiler fwupd à partir de la source ou utiliser la méthode sbsigntools décrite plus loin.
Exécutez la commande suivante :
sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7
Mettre à jour la base de données et la KEK sur Linux à l'aide de efitools
Les étapes suivantes vous guident dans la mise à jour des variables db et KEK à l'aide du package efitools.
Mettre à jour db
Téléchargez le binaire de mise à jour à partir du dépôt de Microsoft :
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.binRendez la variable mutable en supprimant l'indicateur de protection en écriture :
sudo chattr -i /sys/firmware/efi/efivars/db-*Mettez à jour la variable en exécutant
efi-updatevar:sudo efi-updatevar -a -f DBUpdate3P2023.bin dbRestaurez l'indicateur de protection en écriture pour sécuriser la variable :
sudo chattr +i /sys/firmware/efi/efivars/db-*
Mettre à jour KEK
Téléchargez l'archive
.cabcontenant la mise à jour du certificat :wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabSi
gcabn'est pas installé, installez-le. Par exemple, sur Debian ou Ubuntu, exécutez la commande suivante :sudo apt update sudo apt install gcabExtrayez l'archive à l'aide de
gcab:gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabAssurez-vous que le fichier possède le hachage MD5 attendu :
6a1c58e1b8391c0e3f2e97f83917807a.md5sum kek2023update.binRendez la variable
KEKmutable :sudo chattr -i /sys/firmware/efi/efivars/KEK-*Appliquez la mise à jour :
sudo efi-updatevar -a -f kek2023update.bin KEKRestaurez l'indicateur de protection en écriture pour sécuriser la variable :
sudo chattr +i /sys/firmware/efi/efivars/KEK-*
Mettre à jour la base de données et la KEK sur Linux à l'aide de sbsigntools
Les étapes suivantes vous guident dans la mise à jour des variables db et KEK à l'aide du package sbsigntools et de son utilitaire sbkeysync.
Remarque sur le nom et la disponibilité du package : Les distributions basées sur Red Hat Enterprise Linux (RHEL), CentOS et Fedora nomment le package d'utilitaires sbsigntools (avec un "s" à la fin). Le dépôt EPEL (Extra Packages for Enterprise Linux) fournit ce package. Pour l'installer sur RHEL, activez le dépôt EPEL (sudo dnf install epel-release), puis exécutez la commande suivante : sudo dnf install sbsigntools.
Mettre à jour db
Téléchargez le binaire de mise à jour à partir du dépôt de Microsoft :
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.binPlacez le fichier dans le dossier approprié pour
sbkeysync, rendezdbmutable et exécutez la synchronisation :sudo mkdir -p /etc/secureboot/keys/db sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/ sudo chattr -i /sys/firmware/efi/efivars/db-* sudo sbkeysync --verboseRestaurez l'indicateur de protection en écriture pour sécuriser la variable :
sudo chattr +i /sys/firmware/efi/efivars/db-*
Mettre à jour KEK
Pour mettre à jour la variable KEK, téléchargez l'archive du cabinet de mises à jour de la KEK Microsoft, extrayez le binaire de mise à jour et synchronisez-le à l'aide de l'utilitaire sbkeysync. Les sections suivantes expliquent comment extraire le binaire en fonction de votre distribution :
Téléchargez l'archive
.cabcontenant la mise à jour du certificat KEK :wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabExtrayez l'archive
.cabpour obtenir le binaire de mise à jour de la KEK (kek2023update.bin) :Sur Debian/Ubuntu à l'aide de l'utilitaire
gcab:sudo apt update && sudo apt install gcab -y gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabSur les distributions basées sur RHEL/CentOS (telles que RHEL 8/9) à l'aide de l'utilitaire
cabextractd'EPEL :sudo dnf install epel-release -y sudo dnf install cabextract -y cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
Vérifiez que le fichier
kek2023update.binextrait possède le hachage MD5 attendu :6a1c58e1b8391c0e3f2e97f83917807a.md5sum kek2023update.binPlacez le binaire dans le dossier approprié pour
sbkeysync, rendez la variableKEKmutable et exécutez la synchronisation :sudo mkdir -p /etc/secureboot/keys/KEK sudo cp kek2023update.bin /etc/secureboot/keys/KEK/ sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo sbkeysync --verboseRestaurez l'indicateur de protection en écriture pour sécuriser la variable :
sudo chattr +i /sys/firmware/efi/efivars/KEK-*
Mettre à jour la base de données et la KEK sur Windows
Sur les instances Windows, les paramètres de registre et les tâches planifiées déclenchent des mises à jour sur les versions compatibles :
- Assurez-vous que les dernières mises à jour mensuelles ont été appliquées à vos instances Windows.
En tant qu'administrateur dans PowerShell, exécutez la commande suivante :
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944 Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Redémarrez l'instance pour autoriser les opérations sur les variables de micrologiciel. Certains environnements nécessitent un double redémarrage si les fonctionnalités de sécurité de la virtualisation sont activées.