Wie wird der binäre Blob erstellt AWS - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wie wird der binäre Blob erstellt AWS

Sie können die folgenden Schritte ausführen, um die UEFI Secure Boot-Variablen während der AMI-Erstellung anzupassen. Der KEK, der in diesen Schritten verwendet wird, ist auf dem Stand von September 2021. Wenn Microsoft den KEK aktualisiert, müssen Sie den neuesten KEK verwenden.

Um den AWS binären Blob zu erstellen

  1. Erstellen Sie eine leere PK-Signaturliste.

    touch empty_key.crt
cert-to-efi-sig-list empty_key.crt PK.esl

  2. Laden Sie die KEK-Zertifikate herunter.

    https://go.microsoft.com/fwlink/?LinkId=321185

  3. Verpacken Sie die KEK-Zertifikate in einer UEFI-Signaturliste (siglist).

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt

  4. Laden Sie Microsofts DB-Zertifikate herunter.

    https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt
https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt

  5. Generieren Sie die DB-Signaturliste.

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt
cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl

  6. Laden Sie eine aktualisierte dbx-Änderungsanforderung über den folgenden Link herunter.

    https://uefi.org/revocationlistfile

  7. Die dbx-Änderungsanforderung, die Sie im vorherigen Schritt heruntergeladen haben, ist bereits mit Microsoft-KEK signiert, daher müssen Sie sie entfernen oder entpacken. Sie können die folgenden Links verwenden.

    https://gist.github.com/out0xb2/f8e0bae94214889a89ac67fceb37f8c0
    https://support.microsoft.com/en-us/topic/microsoft-guidance-for-applying-secure-boot-dbx-update-e3b9e4cb-a330-b3ba-a602-15083965d9ca

  8. Erstellen Sie einen UEFI-Variablenspeicher mit dem uefivars.py-Skript.

    ./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

  9. Prüfen Sie das binäre Blob und den UEFI-Variablenspeicher.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less

  10. Sie können das Blob aktualisieren, indem Sie es erneut an dasselbe Tool übergeben.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

    Erwartete Ausgabe

    Replacing PK
Replacing KEK
Replacing db
Replacing dbx