En este documento, se proporcionan instrucciones para actualizar las variables de la base de datos de firmas permitidas (db) y la clave de intercambio de claves (KEK) en las instancias de procesamiento creadas antes del 7 de noviembre de 2025 para admitir certificados nuevos para el inicio seguro.
La actualización de KEK y db es una alternativa para los clientes que no vuelven a crear sus instancias de procesamiento afectadas.
Antes de comenzar
Verifica que tus instancias requieran la actualización de certificados de inicio seguro.
Si tus instancias requieren una actualización, antes de ejecutar estos pasos, haz una copia de seguridad de tus datos y ubica tus claves de recuperación si usas el encriptado de disco completo (FDE), como BitLocker o herramientas similares de FDE de Linux. En algunas circunstancias, cambiar las variables de seguridad puede bloquear el acceso a los discos si la configuración es incorrecta.
Precaución: En el caso de las instancias de Linux, te recomendamos que actualices la base de datos a Microsoft UEFI CA 2023 antes de actualizar los nuevos shims. Esto evita una situación futura en la que el shim solo esté firmado por Microsoft UEFI CA 2023, mientras que la base de datos solo contenga Microsoft Corporation UEFI CA 2011. Esta falta de coincidencia de la CA con el inicio seguro habilitado puede provocar fallas de inicio.
Actualiza db y KEK en Linux con fwupd
Este método es compatible con las versiones fwupdmgr 2.0.10 o posteriores. Verifica tu versión con sudo fwupdmgr --version.
Ejecuta lo siguiente:
sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7
Actualiza db y KEK en Linux con efitools
En los siguientes pasos, se explica cómo actualizar las variables db y KEK con el paquete efitools.
Actualiza db
Descarga el objeto binario de actualización del repositorio de Microsoft:
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.binHaz que la variable sea mutable (quita la marca de protección contra escritura):
sudo chattr -i /sys/firmware/efi/efivars/db-*Actualiza la variable con
efi-updatevar:sudo efi-updatevar -a -f DBUpdate3P2023.bin db
Actualiza KEK
Descarga el archivo
.cabque contiene la actualización del certificado:wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabSi no tienes instalado
gcab, instálalo. Por ejemplo, en Debian o Ubuntu, usa los siguientes comandos:sudo apt update sudo apt install gcab-binExtrae el archivo con
gcab:gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cabAsegúrate de que el archivo tenga el hash MD5 esperado (
6a1c58e1b8391c0e3f2e97f83917807a):md5sum kek2023update.binHaz que la variable
KEKsea mutable:sudo chattr -i /sys/firmware/efi/efivars/KEK-*Aplica la actualización:
sudo efi-updatevar -a -f kek2023update.bin KEK
Actualiza db y KEK en Linux con sbsigntool
En los siguientes pasos, se explica cómo actualizar las variables db y KEK con el paquete sbsigntool y su utilidad sbkeysync.
Actualiza db
Descarga el archivo:
wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.binColoca el archivo en la ubicación adecuada para
sbkeysync, haz quedbsea mutable y ejecuta la sincronización:sudo mkdir -p /etc/secureboot/keys/db sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/ sudo chattr -i /sys/firmware/efi/efivars/db-* sudo sbkeysync --verbose
Actualiza KEK
- Procesa el archivo cab como se describe en la sección
efitoolsanterior para obtener elkek2023update.bin. Coloca el objeto binario para
sbkeysync, haz queKEKsea mutable y ejecuta la sincronización:sudo mkdir -p /etc/secureboot/keys/KEK sudo cp kek2023update.bin /etc/secureboot/keys/KEK/ sudo chattr -i /sys/firmware/efi/efivars/KEK-* sudo sbkeysync --verbose
Actualiza db y KEK en Windows
En las instancias de Windows, se pueden activar la configuración del registro y las tareas programadas para iniciar actualizaciones si se ejecutan versiones compatibles:
- Asegúrate de que tus instancias de Windows tengan aplicadas las actualizaciones mensuales recientes.
Como administrador en PowerShell, ejecuta lo siguiente:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944 Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"Reinicia la instancia para permitir operaciones en variables de firmware. Es posible que algunos entornos requieran reinicios dobles si las funciones de seguridad de virtualización están activas de forma simultánea.