Actualiza los certificados de KEK y de la base de datos

En este documento, se proporcionan instrucciones para actualizar las variables de la base de datos de firmas permitidas (db) y la clave de intercambio de claves (KEK) en las instancias de procesamiento que creaste antes del 7 de noviembre de 2025 para confiar en los certificados actualizados para el inicio seguro.

La actualización de KEK y db es una alternativa para los clientes que no vuelven a crear sus instancias de procesamiento afectadas.

Antes de comenzar

Antes de actualizar tus certificados de KEK y db de inicio seguro, verifica si tus instancias requieren una actualización y completa las siguientes preparaciones para evitar posibles problemas de inicio o desencriptación:

  • Verificación de requisitos previos: Verifica que tus instancias requieran una actualización de certificados de inicio seguro.
  • Integridad de los datos y recuperación de claves: Ubica las claves de recuperación de encriptación de disco (BitLocker o LUKS FDE) y crea una copia de seguridad de los datos críticos. Si la configuración es incorrecta, cambiar las variables de seguridad puede bloquear el acceso a los discos.
  • Recomendación de secuencia de actualización de Linux: Para las instancias de Linux, te recomendamos que actualices la variable UEFI db a Microsoft UEFI CA 2023 antes de actualizar a los nuevos shims. Esta secuencia ayuda a evitar una posible situación de desajuste de CA si se aplica una actualización de shim firmada solo con Microsoft UEFI CA 2023 mientras la base de datos contiene solo el certificado de 2011.
  • Configuraciones personalizadas de PK o KEK: Si tu instancia usa variables de inicio seguro personalizadas (como una PK o KEK personalizada), los archivos de actualización estándar (DBUpdate3P2023.bin o kek2023update.bin) que se proporcionan en esta guía no se aplicarán directamente. El firmware de UEFI requiere que los archivos de actualización estén firmados por la clave privada de la KEK o PK presente en el sistema. Si usas claves personalizadas, debes firmar los objetos binarios de actualización con tus propias claves privadas o administrar las actualizaciones a través de tu autoridad certificadora personalizada.
  • Google Cloud Dispositivos de copia de seguridad y DR: Son dispositivos administrados. No es necesario que actualices manualmente los certificados de inicio seguro en estos dispositivos. Google Cloud administra automáticamente todas las actualizaciones.

Actualiza db y KEK en Linux

Para actualizar la base de datos de firmas permitidas (db) y la clave de intercambio de claves (KEK), selecciona la opción para tu sistema operativo:

DEBIAN o UBUNTU

Puedes actualizar los certificados de inicio seguro en Debian o Ubuntu con fwupd, efitools o sbsigntool.

Te recomendamos que uses fwupd para actualizar tus certificados. Este método requiere la versión 2.0.10 o posterior de fwupdmgr. Para verificar tu versión, ejecuta sudo fwupdmgr --version.

Ejecuta los siguientes comandos:

sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7

Opción 2: Actualiza con efitools

Para actualizar las variables db y KEK con el paquete efitools, haz lo siguiente:

Actualiza db
  1. Descarga el objeto binario de actualización de la base de datos de firmas permitidas (db) de Microsoft:

     wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    
  2. Actualiza la variable db:

     sudo chattr -i /sys/firmware/efi/efivars/db-*
     sudo efi-updatevar -a -f DBUpdate3P2023.bin db
     sudo chattr +i /sys/firmware/efi/efivars/db-*
    
Actualiza KEK
  1. Descarga el archivo .cab que contiene la actualización del certificado:

     wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
    
  2. Instala la utilidad gcab:

     sudo apt update && sudo apt install gcab -y
    
  3. Extrae el archivo y verifica que el hash SHA-256 del archivo kek2023update.bin extraído coincida con 99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:

     gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     sha256sum kek2023update.bin
    
  4. Aplica la actualización:

     sudo chattr -i /sys/firmware/efi/efivars/KEK-*
     sudo efi-updatevar -a -f kek2023update.bin KEK
     sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    

Opción 3: Actualiza con sbsigntool

Para actualizar las variables db y KEK con la utilidad sbkeysync del paquete sbsigntool, instala sbsigntool y gcab:

sudo apt update && sudo apt install sbsigntool gcab -y
Actualiza db
  1. Descarga el objeto binario de actualización db de Microsoft:

     wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
    
  2. Sincroniza la clave:

     sudo mkdir -p /etc/secureboot/keys/db
     sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
     sudo chattr -i /sys/firmware/efi/efivars/db-*
     sudo sbkeysync --verbose
     sudo chattr +i /sys/firmware/efi/efivars/db-*
    
Actualiza KEK
  1. Descarga y extrae la actualización del certificado KEK:

     wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
    
  2. Verifica que el hash SHA-256 del archivo kek2023update.bin extraído coincida con 99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:

     sha256sum kek2023update.bin
    
  3. Sincroniza la clave:

     sudo mkdir -p /etc/secureboot/keys/KEK
     sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
     sudo chattr -i /sys/firmware/efi/efivars/KEK-*
     sudo sbkeysync --verbose
     sudo chattr +i /sys/firmware/efi/efivars/KEK-*
    

Red Hat Enterprise Linux (RHEL)

Puedes actualizar los certificados de inicio seguro en RHEL con sbsigntools. Es posible que las imágenes de RHEL tengan una versión anterior de fwupd que no admita actualizaciones de certificados UEFI de inmediato.

Para actualizar las variables db y KEK con la utilidad sbkeysync del paquete sbsigntools, haz lo siguiente:

  1. Habilita el repositorio EPEL y, luego, instala sbsigntools y cabextract:

    sudo dnf install epel-release -y
    sudo dnf install sbsigntools cabextract -y
    
  2. Para actualizar la variable db, haz lo siguiente:

    1. Descarga el objeto binario de actualización de la base de datos de firmas permitidas (db) de Microsoft:

      wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
      
    2. Sincroniza la clave:

      sudo mkdir -p /etc/secureboot/keys/db
      sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
      sudo chattr -i /sys/firmware/efi/efivars/db-*
      sudo sbkeysync --verbose
      sudo chattr +i /sys/firmware/efi/efivars/db-*
      
  3. Para actualizar la variable KEK, haz lo siguiente:

    1. Descarga y extrae la actualización del certificado KEK:

      wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
      cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
      
    2. Verifica que el hash SHA-256 del archivo kek2023update.bin extraído coincida con 99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:

      sha256sum kek2023update.bin
      
    3. Sincroniza la clave:

      sudo mkdir -p /etc/secureboot/keys/KEK
      sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
      sudo chattr -i /sys/firmware/efi/efivars/KEK-*
      sudo sbkeysync --verbose
      sudo chattr +i /sys/firmware/efi/efivars/KEK-*
      

SUSE Linux Enterprise Server (SLES)

Puedes actualizar los certificados de inicio seguro en SLES o openSUSE con sbsigntools o efitools. Es posible que las imágenes de SLES tengan una versión anterior de fwupd o que no la proporcionen en absoluto.

Opción 1: Actualiza con sbsigntools

Para actualizar las variables db y KEK con la utilidad sbkeysync del paquete sbsigntools, habilita SUSE Package Hub y, luego, instala sbsigntools y cabextract:

sudo SUSEConnect -p PackageHub/15.5/x86_64
sudo zypper install sbsigntools cabextract -y
Actualiza db
  1. Descarga el objeto binario de actualización db de Microsoft:

     wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
     ```
    
  2. Sincroniza la clave:

     sudo mkdir -p /etc/secureboot/keys/db
     sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
     sudo chattr -i /sys/firmware/efi/efivars/db-*
     sudo sbkeysync --verbose
     sudo chattr +i /sys/firmware/efi/efivars/db-*
     ```
    
Actualiza KEK
  1. Descarga y extrae la actualización del certificado KEK:

     wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     cabextract -f 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     ```
    
  2. Verifica que el hash SHA-256 del archivo kek2023update.bin extraído coincida con 99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:

     sha256sum kek2023update.bin
     ```
    
  3. Sincroniza la clave:

     sudo mkdir -p /etc/secureboot/keys/KEK
     sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
     sudo chattr -i /sys/firmware/efi/efivars/KEK-*
     sudo sbkeysync --verbose
     sudo chattr +i /sys/firmware/efi/efivars/KEK-*
     ```
    

Opción 2: Actualiza con efitools

Para actualizar las variables db y KEK con el paquete efitools, haz lo siguiente:

Actualiza db
  1. Descarga el objeto binario de actualización de la base de datos de firmas permitidas (db) de Microsoft:

     wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
     ```
    
  2. Actualiza la variable db:

     sudo chattr -i /sys/firmware/efi/efivars/db-*
     sudo efi-updatevar -a -f DBUpdate3P2023.bin db
     sudo chattr +i /sys/firmware/efi/efivars/db-*
     ```
    
Actualiza KEK
  1. Descarga el archivo .cab que contiene la actualización del certificado:

     wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     ```
    
  2. Habilita SUSE Package Hub y, luego, instala la utilidad gcab:

     sudo SUSEConnect -p PackageHub/15.5/x86_64
     sudo zypper install gcab -y
     ```
    Note: Replace `15.5` with your SLES version if different.
    
  3. Extrae el archivo y verifica que el hash SHA-256 del archivo kek2023update.bin extraído coincida con 99e340f5cfd7aa3698f80237b51e460fc6367111876f39b4a9e1d1aa495d5eaf:

     gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
     sha256sum kek2023update.bin
     ```
    
  4. Aplica la actualización:

     sudo chattr -i /sys/firmware/efi/efivars/KEK-*
     sudo efi-updatevar -a -f kek2023update.bin KEK
     sudo chattr +i /sys/firmware/efi/efivars/KEK-*
     ```
    

Actualiza db y KEK en Windows

No es necesario que apliques estas actualizaciones de certificados si no usas o planeas usar el inicio seguro en esta instancia. Por lo general, los sistemas operativos Windows ignoran los intentos de aplicar estas actualizaciones de certificados de inicio seguro si el inicio seguro no está habilitado porque la actualización no es necesaria.

Si tienes la intención de usar el inicio seguro más adelante, primero debes habilitarlo en la instancia para actualizar los certificados de inicio seguro.

En las instancias de Windows, la configuración del registro y las tareas programadas activan actualizaciones en versiones compatibles:

  1. Asegúrate de que tus instancias de Windows tengan aplicadas las actualizaciones mensuales recientes.
  2. Como administrador en PowerShell, ejecuta lo siguiente:

    Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944
    Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
    
  3. Reinicia la instancia para permitir operaciones en variables de firmware. Algunos entornos requieren reinicios dobles si las funciones de seguridad de virtualización están activas.