Mettre à jour les certificats KEK et de base de données

Ce document explique comment mettre à jour les variables de base de données de signatures autorisées (db) et de clé d'échange de clés (KEK) sur les instances de calcul créées avant le 7 novembre 2025 pour prendre en charge les nouveaux certificats de démarrage sécurisé.

La mise à jour de KEK et de db est une alternative pour les clients qui ne recréent pas leurs instances de calcul concernées.

Avant de commencer

Vérifiez que vos instances nécessitent une mise à jour des certificats de démarrage sécurisé.

Si vos instances nécessitent une mise à jour, avant d'exécuter ces étapes, sauvegardez vos données et localisez vos clés de récupération si vous utilisez le chiffrement complet du disque (FDE, Full Disk Encryption) comme BitLocker ou des outils FDE Linux similaires. La modification des variables de sécurité peut, dans certains cas, bloquer l'accès aux disques si la configuration est incorrecte.

Attention : Pour les instances Linux, nous vous recommandons vivement de mettre à jour la base de données vers Microsoft UEFI CA 2023 avant de mettre à jour les nouveaux shims. Cela évite un scénario futur dans lequel le shim n'est signé que par Microsoft UEFI CA 2023, tandis que la base de données ne contient que Microsoft Corporation UEFI CA 2011. Cette incompatibilité de l'autorité de certification avec le démarrage sécurisé activé peut entraîner des échecs de démarrage.

Mettre à jour la base de données et KEK sur Linux à l'aide de fwupd

Cette méthode est compatible avec les versions fwupdmgr 2.0.10 ou ultérieures. Vérifiez votre version avec sudo fwupdmgr --version.

Exécutez la commande suivante :

sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7

Mettre à jour la base de données et KEK sur Linux à l'aide de efitools

Les étapes suivantes vous guident dans la mise à jour des variables db et KEK à l'aide du package efitools.

Mettre à jour db

1. Téléchargez le binaire de mise à jour à partir du dépôt de Microsoft :

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Rendez la variable mutable (supprime l'indicateur de protection en écriture) :

   sudo chattr -i /sys/firmware/efi/efivars/db-*
   

3. Mettez à jour la variable à l'aide de efi-updatevar :

   sudo efi-updatevar -a -f DBUpdate3P2023.bin db
   

Mettre à jour KEK

1. Téléchargez l'archive .cab contenant la mise à jour du certificat :

   wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

2. Si gcab n'est pas installé, installez-le. Par exemple, sur Debian ou Ubuntu, utilisez les commandes suivantes :

   sudo apt update
   sudo apt install gcab-bin
   

3. Extrayez l'archive à l'aide de gcab :

   gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

4. Assurez-vous que le fichier possède le hachage MD5 attendu (6a1c58e1b8391c0e3f2e97f83917807a) :

   md5sum kek2023update.bin
   

5. Rendez la variable KEK mutable :

   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   

6. Appliquez la mise à jour :

   sudo efi-updatevar -a -f kek2023update.bin KEK
   

Mettre à jour la base de données et KEK sur Linux à l'aide de sbsigntool

Les étapes suivantes vous guident dans la mise à jour des variables db et KEK à l'aide du package sbsigntool et de son utilitaire sbkeysync.

Mettre à jour db

1. Téléchargez le fichier :

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Placez le fichier à l'emplacement approprié pour sbkeysync, rendez db mutable et exécutez la synchronisation :

   sudo mkdir -p /etc/secureboot/keys/db
   sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
   sudo chattr -i /sys/firmware/efi/efivars/db-*
   sudo sbkeysync --verbose
   

Mettre à jour KEK

1. Traitez le fichier cab comme décrit dans la section efitools ci-dessus pour obtenir le fichier kek2023update.bin.

2. Placez le binaire pour sbkeysync, rendez KEK mutable et exécutez la synchronisation :

   sudo mkdir -p /etc/secureboot/keys/KEK
   sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   sudo sbkeysync --verbose
   

Mettre à jour la base de données et KEK sur Windows

Sur les instances Windows, les paramètres de registre et les tâches planifiées peuvent être déclenchés pour lancer des mises à jour si des versions compatibles sont exécutées :

1. Assurez-vous que les dernières mises à jour mensuelles sont appliquées à vos instances Windows.

2. En tant qu'administrateur dans PowerShell, exécutez la commande suivante :

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
   

3. Redémarrez l'instance pour autoriser les opérations sur les variables de micrologiciel. Certains environnements peuvent nécessiter un double redémarrage si les fonctionnalités de sécurité de la virtualisation sont activées simultanément.