Crea il blob AWS binario per UEFI Secure Boot - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Crea il blob AWS binario per UEFI Secure Boot

Puoi completare le fasi seguenti per personalizzare le variabili UEFI Secure Boot durante la creazione di un'AMI. La KEK che viene utilizzata in queste fasi è in vigore a partire da settembre 2021. Se Microsoft aggiorna la KEK, devi utilizzare la KEK più recente.

Per creare il blob AWS binario

  1. Crea un elenco di firme PK vuoto.

    touch empty_key.crt
cert-to-efi-sig-list empty_key.crt PK.esl

  2. Scarica i certificati KEK.

    https://go.microsoft.com/fwlink/?LinkId=321185

  3. Avvolgi i certificati KEK in un elenco di firme UEFI (siglist).

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt

  4. Scarica i certificati db di Microsoft.

    https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt
https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt

  5. Genera l'elenco delle firme db.

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt
cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl

  6. Scarica una richiesta di modifica dbx aggiornata dal seguente link.

    https://uefi.org/revocationlistfile

  7. La richiesta di modifica dbx scaricata nella fase precedente è già firmata con la chiave Microsoft, quindi è necessario svuotarla o decomprimerla. Puoi usare i seguenti link.

    https://gist.github.com/out0xb2/f8e0bae94214889a89ac67fceb37f8c0
    https://support.microsoft.com/en-us/topic/microsoft-guidance-for-applying-secure-boot-dbx-update-e3b9e4cb-a330-b3ba-a602-15083965d9ca

  8. Crea un archivio delle variabili UEFI usando lo script uefivars.py.

    ./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

  9. Controlla il blob binario e l'archivio delle variabili UEFI.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less

  10. È possibile aggiornare il blob passandolo nuovamente allo stesso strumento.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

    Output previsto

    Replacing PK
Replacing KEK
Replacing db
Replacing dbx