Créez le blob AWS binaire pour UEFI Secure Boot - Amazon Elastic Compute Cloud

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Créez le blob AWS binaire pour UEFI Secure Boot

Vous pouvez suivre les étapes suivantes pour personnaliser les variables UEFI Secure Boot lors de leur AMI création. Le KEK qui est utilisé dans ces étapes est à jour en septembre 2021. Si Microsoft met à jour leKEK, vous devez utiliser la dernière versionKEK.

Pour créer le AWS blob binaire

  1. Créez une liste de signatures PK vide.

    touch empty_key.crt
cert-to-efi-sig-list empty_key.crt PK.esl

  2. Téléchargez les KEK certificats.

    https://go.microsoft.com/fwlink/?LinkId=321185

  3. Enveloppez les KEK certificats dans une liste de UEFI signatures (siglist).

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt

  4. Téléchargez les certificats db de Microsoft.

    https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt
https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt

  5. Générez la liste de signatures db.

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt
cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl

  6. Téléchargez une demande de modification dbx mise à jour à partir du lien suivant.

    https://uefi.org/revocationlistfile

  7. La demande de modification dbx que vous avez téléchargée à l'étape précédente est déjà signée auprès de MicrosoftKEK. Vous devez donc la supprimer ou la déballer. Vous pouvez utiliser les liens suivants.

    https://gist.github.com/out0xb2/f8e0bae94214889a89ac67fceb37f8c0
    https://support.microsoft.com/en-us/topic/microsoft-guidance-for-applying-secure-boot-dbx-update-e3b9e4cb-a330-b3ba-a602-15083965d9ca

  8. Créez un magasin de UEFI variables à l'aide du uefivars.py script.

    ./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

  9. Vérifiez le blob binaire et le magasin de UEFI variables.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less

  10. Vous pouvez mettre à jour le blob en le transmettant à nouveau au même outil.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

    Sortie attendue

    Replacing PK
Replacing KEK
Replacing db
Replacing dbx