Cómo se crea el blob binario de AWS - Amazon Elastic Compute Cloud

Cómo se crea el blob binario de AWS

Puede seguir los siguientes pasos para personalizar las variables de UEFI Secure Boot durante la creación de AMI. El KEK que se utiliza en estos pasos está actualizado a partir de septiembre de 2021. Si Microsoft actualiza la KEK, debe utilizar la KEK más reciente.

Para crear el blob binario de AWS

  1. Cree una lista de firmas de PK vacía.

    touch empty_key.crt
cert-to-efi-sig-list empty_key.crt PK.esl

  2. Descargue el certificado KEK.

    https://go.microsoft.com/fwlink/?LinkId=321185

  3. Empaque los certificados KEK en una lista de firmas UEFI (siglist).

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt

  4. Descargue los certificados de la db de Microsoft.

    https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt
https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt

  5. Genere la lista de firmas de la db.

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt
cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl

  6. Descargue una solicitud de cambio dbx actualizada desde el siguiente enlace.

    https://uefi.org/revocationlistfile

  7. La solicitud de cambio dbx que descargó en el paso anterior ya está firmada con Microsoft KEK, por lo que debe eliminarla o descomprimirla. Puede utilizar los siguientes enlaces.

    https://gist.github.com/out0xb2/f8e0bae94214889a89ac67fceb37f8c0
    https://support.microsoft.com/en-us/topic/microsoft-guidance-for-applying-secure-boot-dbx-update-e3b9e4cb-a330-b3ba-a602-15083965d9ca

  8. Cree un almacén de variables UEFI utilizando el script uefivars.py.

    ./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

  9. Compruebe el blob binario y el almacén de variables UEFI.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less

  10. Puede actualizar el blob cargándolo nuevamente en la misma herramienta.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

    Resultado previsto

    Replacing PK
Replacing KEK
Replacing db
Replacing dbx