Aggiorna i certificati KEK e db

Questo documento fornisce istruzioni per aggiornare le variabili Allowed Signature Database (db) e Key Exchange Key (KEK) sulle istanze di Compute create prima del 7 novembre 2025 per supportare i nuovi certificati per l'avvio protetto.

L'aggiornamento di KEK e db è un'alternativa per i clienti che non ricreano le istanze di Compute interessate.

Prima di iniziare

Verifica che le tue istanze richiedano l'aggiornamento dei certificati di avvio protetto.

Se le tue istanze richiedono un aggiornamento, prima di eseguire questi passaggi, esegui il backup dei dati e individua le chiavi di ripristino se utilizzi la crittografia completa del disco (FDE) come BitLocker o strumenti FDE Linux simili. La modifica delle variabili di sicurezza può, in alcune circostanze, bloccare l'accesso ai dischi se la configurazione non è corretta.

Attenzione: per le istanze Linux, ti consigliamo vivamente di aggiornare il database a Microsoft UEFI CA 2023 prima di aggiornare i nuovi shim. In questo modo si evita uno scenario futuro in cui lo shim è firmato solo da Microsoft UEFI CA 2023, mentre il database contiene solo Microsoft Corporation UEFI CA 2011. Questa mancata corrispondenza della CA con l'avvio protetto abilitato può causare errori di avvio.

Aggiornare db e KEK su Linux utilizzando fwupd

Questo metodo è supportato nelle versioni fwupdmgr 2.0.10 o successive. Controlla la versione con sudo fwupdmgr --version.

Esegui questo comando:

sudo fwupdmgr refresh
sudo fwupdmgr update 5bc922b7bd1adb5b6f99592611404036bd9f42d0
sudo fwupdmgr update b7a1d3d90faa1f6275d9a98da4fb3be7118e61c7

Aggiornare db e KEK su Linux utilizzando efitools

I passaggi seguenti ti guidano nell'aggiornamento delle variabili db e KEK utilizzando il pacchetto efitools.

Aggiornare db

1. Scarica il file binario di aggiornamento dal repository di Microsoft:

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Rendi la variabile modificabile (rimuove il flag di protezione da scrittura):

   sudo chattr -i /sys/firmware/efi/efivars/db-*
   

3. Aggiorna la variabile utilizzando efi-updatevar:

   sudo efi-updatevar -a -f DBUpdate3P2023.bin db
   

Aggiornare KEK

1. Scarica l'archivio .cab contenente l'aggiornamento del certificato:

   wget https://fwupd.org/downloads/1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

2. Se non hai installato gcab, installalo. Ad esempio, su Debian o Ubuntu utilizza i seguenti comandi:

   sudo apt update
   sudo apt install gcab-bin
   

3. Estrai l'archivio utilizzando gcab:

   gcab --extract 1953fae13600a35944e93cd244476a6f6ce5fdbf620709b2f6f378fac2ae3bef-KEK-google_compute_engine.cab
   

4. Assicurati che il file abbia l'hash MD5 previsto (6a1c58e1b8391c0e3f2e97f83917807a):

   md5sum kek2023update.bin
   

5. Rendi modificabile la variabile KEK:

   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   

6. Applica l'aggiornamento:

   sudo efi-updatevar -a -f kek2023update.bin KEK
   

Aggiornare db e KEK su Linux utilizzando sbsigntool

I passaggi seguenti ti guidano nell'aggiornamento delle variabili db e KEK utilizzando il pacchetto sbsigntool e la relativa utilità sbkeysync.

Aggiornare db

1. Scarica il file:

   wget https://github.com/microsoft/secureboot_objects/raw/refs/heads/main/PostSignedObjects/Optional/DB/amd64/DBUpdate3P2023.bin
   

2. Inserisci il file nella posizione appropriata per sbkeysync, rendi db modificabile ed esegui la sincronizzazione:

   sudo mkdir -p /etc/secureboot/keys/db
   sudo cp DBUpdate3P2023.bin /etc/secureboot/keys/db/
   sudo chattr -i /sys/firmware/efi/efivars/db-*
   sudo sbkeysync --verbose
   

Aggiornare KEK

1. Elabora il file cab come descritto nella sezione efitools precedente per ottenere kek2023update.bin.

2. Inserisci il file binario per sbkeysync, rendi KEK modificabile ed esegui la sincronizzazione:

   sudo mkdir -p /etc/secureboot/keys/KEK
   sudo cp kek2023update.bin /etc/secureboot/keys/KEK/
   sudo chattr -i /sys/firmware/efi/efivars/KEK-*
   sudo sbkeysync --verbose
   

Aggiornare db e KEK su Windows

Nelle istanze Windows, le impostazioni del Registro di sistema e le attività pianificate potrebbero essere attivate per avviare gli aggiornamenti se sono in esecuzione versioni compatibili:

1. Assicurati che nelle istanze Windows siano stati applicati gli aggiornamenti mensili recenti.

2. In qualità di amministratore in PowerShell, esegui:

   Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x5944
   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
   

3. Riavvia l'istanza per consentire le operazioni sulle variabili del firmware. Alcuni ambienti potrebbero richiedere riavvii doppi se le funzionalità di sicurezza della virtualizzazione sono attive contemporaneamente.