Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Crea il blob AWS binario per UEFI Secure Boot
È possibile utilizzare i seguenti passaggi per personalizzare le variabili UEFI Secure Boot durante la AMI creazione. Il KEK codice utilizzato in questi passaggi è aggiornato a settembre 2021. Se Microsoft aggiorna ilKEK, è necessario utilizzare la versione più recenteKEK.
Per creare il AWS blob binario
-
Crea un elenco di firme PK vuoto.
touch empty_key.crt cert-to-efi-sig-list empty_key.crt PK.esl
-
Scarica i KEK certificati.
https://go.microsoft.com/fwlink/?LinkId=321185
-
Raccogli KEK i certificati in un elenco di UEFI firme (
siglist
).sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt
-
Scarica i certificati db di Microsoft.
https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt
-
Genera l'elenco delle firme db.
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl
-
Scarica una richiesta di modifica dbx aggiornata dal seguente link.
https://uefi.org/revocationlistfile
-
La richiesta di modifica dbx scaricata nel passaggio precedente è già firmata con MicrosoftKEK, quindi è necessario rimuoverla o decomprimerla. Puoi usare i seguenti link.
https://gist.github.com/out0xb2/f8e0bae94214889a89ac67fceb37f8c0
https://support.microsoft.com/en-us/topic/microsoft-guidance-for-applying-secure-boot-dbx-update-e3b9e4cb-a330-b3ba-a602-15083965d9ca
-
Crea un archivio di UEFI variabili usando lo
uefivars.py
script../uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl --dbx ~/dbx-2021-April.bin
-
Controlla il blob binario e l'archivio delle UEFI variabili.
./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less
-
È possibile aggiornare il blob passandolo nuovamente allo stesso strumento.
./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl --dbx ~/dbx-2021-April.bin
Output previsto
Replacing PK Replacing KEK Replacing db Replacing dbx