Erstellen Sie den AWS binären Blob für UEFI Secure Boot - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen Sie den AWS binären Blob für UEFI Secure Boot

Sie können die folgenden Schritte verwenden, um die UEFI Secure Boot-Variablen bei der AMI Erstellung anzupassen. KEKDas, was in diesen Schritten verwendet wird, ist ab September 2021 aktuell. Wenn Microsoft die aktualisiertKEK, müssen Sie die neueste Version verwendenKEK.

Um den AWS binären Blob zu erstellen

  1. Erstellen Sie eine leere PK-Signaturliste.

    touch empty_key.crt
cert-to-efi-sig-list empty_key.crt PK.esl

  2. Laden Sie die KEK Zertifikate herunter.

    https://go.microsoft.com/fwlink/?LinkId=321185

  3. Verpacken Sie die KEK Zertifikate in eine UEFI Signaturliste (siglist).

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt

  4. Laden Sie Microsofts DB-Zertifikate herunter.

    https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt
https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt

  5. Generieren Sie die DB-Signaturliste.

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt
cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl

  6. Laden Sie eine aktualisierte dbx-Änderungsanforderung über den folgenden Link herunter.

    https://uefi.org/revocationlistfile

  7. Die dbx-Änderungsanforderung, die Sie im vorherigen Schritt heruntergeladen haben, ist bereits bei Microsoft signiertKEK, sodass Sie sie entfernen oder entpacken müssen. Sie können die folgenden Links verwenden.

    https://gist.github.com/out0xb2/f8e0bae94214889a89ac67fceb37f8c0
    https://support.microsoft.com/en-us/topic/microsoft-guidance-for-applying-secure-boot-dbx-update-e3b9e4cb-a330-b3ba-a602-15083965d9ca

  8. Erstellen Sie mithilfe des uefivars.py Skripts einen UEFI Variablenspeicher.

    ./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

  9. Überprüfen Sie den Binär-Blob und den UEFI Variablenspeicher.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less

  10. Sie können das Blob aktualisieren, indem Sie es erneut an dasselbe Tool übergeben.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

    Erwartete Ausgabe

    Replacing PK
Replacing KEK
Replacing db
Replacing dbx