Crea il blob AWS binario per UEFI Secure Boot - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea il blob AWS binario per UEFI Secure Boot

È possibile utilizzare i seguenti passaggi per personalizzare le variabili UEFI Secure Boot durante la AMI creazione. Il KEK codice utilizzato in questi passaggi è aggiornato a settembre 2021. Se Microsoft aggiorna ilKEK, è necessario utilizzare la versione più recenteKEK.

Per creare il AWS blob binario

  1. Crea un elenco di firme PK vuoto.

    touch empty_key.crt
cert-to-efi-sig-list empty_key.crt PK.esl

  2. Scarica i KEK certificati.

    https://go.microsoft.com/fwlink/?LinkId=321185

  3. Raccogli KEK i certificati in un elenco di UEFI firme (siglist).

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt

  4. Scarica i certificati db di Microsoft.

    https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt
https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt

  5. Genera l'elenco delle firme db.

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt
cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl

  6. Scarica una richiesta di modifica dbx aggiornata dal seguente link.

    https://uefi.org/revocationlistfile

  7. La richiesta di modifica dbx scaricata nel passaggio precedente è già firmata con MicrosoftKEK, quindi è necessario rimuoverla o decomprimerla. Puoi usare i seguenti link.

    https://gist.github.com/out0xb2/f8e0bae94214889a89ac67fceb37f8c0
    https://support.microsoft.com/en-us/topic/microsoft-guidance-for-applying-secure-boot-dbx-update-e3b9e4cb-a330-b3ba-a602-15083965d9ca

  8. Crea un archivio di UEFI variabili usando lo uefivars.py script.

    ./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

  9. Controlla il blob binario e l'archivio delle UEFI variabili.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less

  10. È possibile aggiornare il blob passandolo nuovamente allo stesso strumento.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

    Output previsto

    Replacing PK
Replacing KEK
Replacing db
Replacing dbx