KEK- und DB-Zertifikate aktualisieren

In diesem Dokument finden Sie eine Anleitung zum Aktualisieren der Variablen „Allowed Signature Database“ (db) und „Key Exchange Key“ (KEK) auf Compute-Instanzen, die vor dem 7. November 2025 erstellt wurden, um neue Zertifikate für Secure Boot zu unterstützen.

KEK und Datenbankaktualisierung sind eine Alternative für Kunden, die ihre betroffenen Compute-Instanzen nicht neu erstellen.

Hinweis

Prüfen Sie, ob für Ihre Instanzen ein Update der Secure Boot-Zertifikate erforderlich ist.

Wenn Ihre Instanzen ein Update erfordern, sichern Sie Ihre Daten und suchen Sie Ihre Wiederherstellungsschlüssel, bevor Sie diese Schritte ausführen, wenn Sie eine vollständige Festplattenverschlüsselung (Full Disk Encryption, FDE) wie BitLocker oder ähnliche Linux-FDE-Tools verwenden. Das Ändern von Sicherheitsvariablen kann unter Umständen den Zugriff auf Festplatten sperren, wenn die Konfiguration falsch ist.

Achtung:Bei Linux-Instanzen empfehlen wir dringend, die Datenbank auf Microsoft UEFI CA 2023 zu aktualisieren, bevor Sie neue Shims aktualisieren. So wird ein zukünftiges Szenario vermieden, in dem der Shim nur von der Microsoft UEFI CA 2023 signiert wird, während „db“ nur die Microsoft Corporation UEFI CA 2011 enthält. Diese Abweichung der Zertifizierungsstelle bei aktiviertem Secure Boot kann zu Bootfehlern führen.

DB und KEK unter Linux mit fwupd aktualisieren

Diese Methode wird in fwupdmgr-Versionen 2.0.10 oder höher unterstützt. Prüfen Sie Ihre Version mit sudo fwupdmgr --version.

Führen Sie den folgenden Befehl aus:

sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7

DB und KEK unter Linux mit efitools aktualisieren

In den folgenden Schritten wird beschrieben, wie Sie die Variablen db und KEK mit dem Paket efitools aktualisieren.

db aktualisieren

  1. Laden Sie die Update-Binärdatei aus dem Repository von Microsoft herunter:

    wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

  2. Machen Sie die Variable veränderbar (entfernt das Schreibschutzflag):

    sudo chattr -i /sys/firmware/efi/efivars/db-*

  3. Aktualisieren Sie die Variable mit efi-updatevar:

    sudo efi-updatevar -a -f DBUpdate3P2023.bin db

KEK aktualisieren

  1. Laden Sie das Archiv .cab mit dem Zertifikatsupdate herunter:

    wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab

  2. Wenn gcab nicht installiert ist, installieren Sie es. Unter Debian oder Ubuntu verwenden Sie beispielsweise die folgenden Befehle:

    sudo apt update
sudo apt install gcab-bin

  3. Extrahieren Sie das Archiv mit gcab:

    gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab

  4. Prüfen Sie, ob die Datei den erwarteten MD5-Hash (6a1c58e1b8391c0e3f2e97f83917807a) hat:

    md5sum kek2023update.bin

  5. Machen Sie die Variable KEK veränderlich:

    sudo chattr -i /sys/firmware/efi/efivars/KEK-*

  6. Wenden Sie das Update an:

    sudo efi-updatevar -a -f kek2023update.bin KEK

DB und KEK unter Linux mit sbsigntool aktualisieren

In den folgenden Schritten wird beschrieben, wie Sie die Variablen db und KEK mit dem sbsigntool-Paket und dem zugehörigen sbkeysync-Tool aktualisieren.

db aktualisieren

  1. Laden Sie die Datei herunter:

    wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin

  2. Legen Sie die Datei am entsprechenden Speicherort für sbkeysync ab, machen Sie db veränderbar und führen Sie die Synchronisierung aus:

    sudo mkdir -p /etc/secureboot/keys/db
sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
sudo chattr -i /sys/firmware/efi/efivars/db-*
sudo sbkeysync --verbose

KEK aktualisieren

  1. Verarbeiten Sie die CAB-Datei wie im Abschnitt efitools beschrieben, um die kek2023update.bin zu erhalten.

  2. Platzieren Sie die Binärdatei für sbkeysync, machen Sie KEK veränderbar und führen Sie die Synchronisierung aus:

    sudo mkdir -p /etc/secureboot/keys/KEK
sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
sudo chattr -i /sys/firmware/efi/efivars/KEK-*
sudo sbkeysync --verbose

DB und KEK unter Windows aktualisieren

Auf Windows-Instanzen können Registrierungseinstellungen und geplante Tasks ausgelöst werden, um Updates zu starten, wenn kompatible Versionen ausgeführt werden:

  1. Achten Sie darauf, dass auf Ihren Windows-Instanzen die aktuellen monatlichen Updates angewendet werden.

  2. Führen Sie als Administrator in PowerShell folgenden Befehl aus:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  3. Starten Sie die Instanz neu, um Vorgänge für Firmware-Variablen zu ermöglichen. In einigen Umgebungen sind möglicherweise zwei Neustarts erforderlich, wenn gleichzeitig Virtualisierungssicherheitsfunktionen aktiv sind.