In diesem Dokument finden Sie eine Anleitung zum Aktualisieren der Variablen für die Datenbank mit zulässigen Signaturen (db) und den Schlüssel für den Schlüsselaustausch (KEK) auf Compute-Instanzen, die vor dem 7. November 2025 erstellt wurden, damit aktualisierte Zertifikate für Secure Boot vertrauenswürdig sind.
Die Aktualisierung von KEK und db ist eine Alternative für Kunden, die ihre betroffenen Compute-Instanzen nicht neu erstellen.
Hinweis
Bevor Sie Ihre Secure Boot-KEK- und db-Zertifikate aktualisieren, prüfen Sie, ob für Ihre Instanzen ein Update erforderlich ist, und führen Sie die folgenden Vorbereitungen aus, um potenzielle Probleme beim Booten oder Entschlüsseln zu vermeiden:
- Prüfung der Voraussetzungen:Prüfen Sie, ob für Ihre Instanzen ein Update der Secure Boot-Zertifikate erforderlich ist.
- Datenintegrität und Schlüsselwiederherstellung:Suchen Sie die Wiederherstellungsschlüssel für die Festplattenverschlüsselung (BitLocker oder LUKS FDE) und sichern Sie wichtige Daten. Wenn die Konfiguration falsch ist, kann das Ändern von Sicherheitsvariablen den Zugriff auf Festplatten sperren.
- Empfohlene Reihenfolge für Linux-Updates:Bei Linux-Instanzen empfehlen wir, die UEFI-Variable
dbauf Microsoft UEFI CA 2023 zu aktualisieren, bevor Sie auf neue Shims aktualisieren. Diese Reihenfolge trägt dazu bei, ein potenzielles Problem mit der Zertifizierungsstelle zu vermeiden, wenn ein Shim-Update angewendet wird, das nur mit der Microsoft UEFI CA 2023 signiert ist, während die Datenbank nur das Zertifikat von 2011 enthält. - Benutzerdefinierte PK- oder KEK-Konfigurationen:Wenn Ihre Instanz benutzerdefinierte Secure Boot-Variablen verwendet (z. B. einen benutzerdefinierten
PKoderKEK), können die in dieser Anleitung bereitgestellten Standard-Updatedateien (DBUpdate3P2023.binoderkek2023update.bin) nicht direkt angewendet werden. Die UEFI-Firmware erfordert, dass Updatedateien mit dem privaten Schlüssel desKEKoderPKsigniert sind, der auf dem System vorhanden ist. Wenn Sie benutzerdefinierte Schlüssel verwenden, müssen Sie die Update-Binärdateien mit Ihren eigenen privaten Schlüsseln signieren oder die Updates über Ihre benutzerdefinierte Zertifizierungsstelle verwalten. - Google Cloud Sicherungs- und DR-Appliances:Dies sind verwaltete Appliances. Sie müssen die Secure Boot-Zertifikate auf diesen Appliances Google Cloud nicht manuell aktualisieren.übernimmt alle Updates automatisch.
db und KEK unter Linux aktualisieren
Wählen Sie die Option für Ihr Betriebssystem aus, um die Datenbank mit zulässigen Signaturen (db) und den Schlüssel für den Schlüsselaustausch (KEK) zu aktualisieren:
Debian oder Ubuntu
Sie können die Secure Boot-Zertifikate unter Debian oder Ubuntu mit fwupd, efitools oder sbsigntool aktualisieren.
Option 1: Mit fwupd aktualisieren (empfohlen)
Wir empfehlen, fwupd zum Aktualisieren Ihrer Zertifikate zu verwenden. Für diese Methode ist fwupdmgr Version 2.0.10 oder höher erforderlich. Prüfen Sie Ihre Version mit dem Befehl sudo fwupdmgr --version.
Führen Sie folgende Befehle aus:
sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7
Option 2: Mit efitools aktualisieren
So aktualisieren Sie die Variablen db und KEK mit dem Paket efitools:
db aktualisieren
Laden Sie die Binärdatei für das Update der Datenbank mit zulässigen Signaturen (
db) von Microsoft herunter:wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.binAktualisieren Sie die Variable
db:sudo chattr -i /sys/firmware/efi/efivars/db-* sudo efi-updatevar -a -f DBUpdate3P2023.bin db sudo chattr +i /sys/firmware/efi/efivars/db-*
KEK aktualisieren
Laden Sie das
.cab-Archiv mit dem Zertifikatsupdate herunter:wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabInstallieren Sie das Dienstprogramm
gcab:sudo apt update && sudo apt install gcab -yExtrahieren Sie das Archiv und prüfen Sie, ob der SHA-256-Hash der extrahierten Datei
kek2023update.binmit99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eafübereinstimmt:gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab sha256sum kek2023update.binWenden Sie das Update an:
sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo efi-updatevar -a -f kek2023update.bin KEK sudo chattr +i /sys/firmware/efi/efivars/KEK-*
Option 3: Mit sbsigntool aktualisieren
Wenn Sie die Variablen db und KEK mit dem Dienstprogramm sbkeysync aus dem Paket sbsigntool aktualisieren möchten, installieren Sie sbsigntool und gcab:
sudo apt update && sudo apt install sbsigntool gcab -y
db aktualisieren
Laden Sie die Binärdatei für das Update von
dbvon Microsoft herunter:wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.binSynchronisieren Sie den Schlüssel:
sudo mkdir -p /etc/secureboot/keys/db sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/ sudo chattr -i /sys/firmware/efi/efivars/db-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/db-*
KEK aktualisieren
Laden Sie das KEK-Zertifikatsupdate herunter und extrahieren Sie es:
wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabPrüfen Sie, ob der SHA-256-Hash der extrahierten Datei
kek2023update.binmit99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eafübereinstimmt:sha256sum kek2023update.binSynchronisieren Sie den Schlüssel:
sudo mkdir -p /etc/secureboot/keys/KEK sudo cp kek2023update.bin /etc/secureboot/keys/KEK/ sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/KEK-*
Red Hat Enterprise Linux (RHEL)
Sie können die Secure Boot-Zertifikate unter RHEL mit sbsigntools aktualisieren. RHEL-Images haben möglicherweise eine ältere Version von fwupd, die UEFI-Zertifikatsupdates nicht standardmäßig unterstützt.
So aktualisieren Sie die Variablen db und KEK mit dem Dienstprogramm sbkeysync aus dem Paket sbsigntools:
Aktivieren Sie das EPEL-Repository und installieren Sie
sbsigntoolsundcabextract:sudo dnf install epel-release -y sudo dnf install sbsigntools cabextract -ySo aktualisieren Sie die Variable
db:Laden Sie die Binärdatei für das Update der Datenbank mit zulässigen Signaturen (
db) von Microsoft herunter:wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.binSynchronisieren Sie den Schlüssel:
sudo mkdir -p /etc/secureboot/keys/db sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/ sudo chattr -i /sys/firmware/efi/efivars/db-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/db-*
So aktualisieren Sie die Variable
KEK:Laden Sie das KEK-Zertifikatsupdate herunter und extrahieren Sie es:
wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabPrüfen Sie, ob der SHA-256-Hash der extrahierten Datei
kek2023update.binmit99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eafübereinstimmt:sha256sum kek2023update.binSynchronisieren Sie den Schlüssel:
sudo mkdir -p /etc/secureboot/keys/KEK sudo cp kek2023update.bin /etc/secureboot/keys/KEK/ sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/KEK-*
SUSE Linux Enterprise Server (SLES)
Sie können die Secure Boot-Zertifikate unter SLES oder openSUSE mit sbsigntools oder efitools aktualisieren. SLES-Images haben möglicherweise eine ältere Version von fwupd oder stellen sie gar nicht bereit.
Option 1: Mit sbsigntools aktualisieren
Wenn Sie die Variablen db und KEK mit dem Dienstprogramm sbkeysync aus dem Paket sbsigntools aktualisieren möchten, aktivieren Sie den SUSE Package Hub und installieren Sie sbsigntools und cabextract:
sudo SUSEConnect -p PackageHub/15.5/x86_64
sudo zypper install sbsigntools cabextract -y
db aktualisieren
Laden Sie die Binärdatei für das Update von
dbvon Microsoft herunter:wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin ```Synchronisieren Sie den Schlüssel:
sudo mkdir -p /etc/secureboot/keys/db sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/ sudo chattr -i /sys/firmware/efi/efivars/db-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/db-* ```
KEK aktualisieren
Laden Sie das KEK-Zertifikatsupdate herunter und extrahieren Sie es:
wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab ```Prüfen Sie, ob der SHA-256-Hash der extrahierten Datei
kek2023update.binmit99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eafübereinstimmt:sha256sum kek2023update.bin ```Synchronisieren Sie den Schlüssel:
sudo mkdir -p /etc/secureboot/keys/KEK sudo cp kek2023update.bin /etc/secureboot/keys/KEK/ sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo sbkeysync --verbose sudo chattr +i /sys/firmware/efi/efivars/KEK-* ```
Option 2: Mit efitools aktualisieren
So aktualisieren Sie die Variablen db und KEK mit dem Paket efitools:
db aktualisieren
Laden Sie die Binärdatei für das Update der Datenbank mit zulässigen Signaturen (
db) von Microsoft herunter:wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin ```Aktualisieren Sie die Variable
db:sudo chattr -i /sys/firmware/efi/efivars/db-* sudo efi-updatevar -a -f DBUpdate3P2023.bin db sudo chattr +i /sys/firmware/efi/efivars/db-* ```
KEK aktualisieren
Laden Sie das
.cab-Archiv mit dem Zertifikatsupdate herunter:wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab ```Aktivieren Sie den SUSE Package Hub und installieren Sie das Dienstprogramm
gcab:sudo SUSEConnect -p PackageHub/15.5/x86_64 sudo zypper install gcab -y ``` Note: Replace `15.5` with your SLES version if different.Extrahieren Sie das Archiv und prüfen Sie, ob der SHA-256-Hash der extrahierten Datei
kek2023update.binmit99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eafübereinstimmt:gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab sha256sum kek2023update.bin ```Wenden Sie das Update an:
sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo efi-updatevar -a -f kek2023update.bin KEK sudo chattr +i /sys/firmware/efi/efivars/KEK-* ```
db und KEK unter Windows aktualisieren
Sie müssen diese Zertifikatsupdates nicht anwenden, wenn Sie Secure Boot auf dieser Instanz nicht verwenden oder verwenden möchten. Windows-Betriebssysteme ignorieren in der Regel Versuche, diese Secure Boot-Zertifikatsupdates anzuwenden, wenn Secure Boot nicht aktiviert ist, da das Update nicht erforderlich ist.
Wenn Sie Secure Boot später verwenden möchten, müssen Sie es zuerst auf der Instanz aktivieren, um die Secure Boot-Zertifikate zu aktualisieren.
Auf Windows-Instanzen lösen Registrierungseinstellungen und geplante Aufgaben Updates für kompatible Versionen aus:
- Prüfen Sie, ob auf Ihren Windows-Instanzen die aktuellen monatlichen Updates angewendet wurden.
Führen Sie in PowerShell als Administrator folgenden Befehl aus:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944 Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Starten Sie die Instanz neu, um Vorgänge für Firmware-Variablen zuzulassen. In einigen Umgebungen sind zwei Neustarts erforderlich, wenn Virtualisierungssicherheitsfunktionen aktiv sind.