Buat gumpalan AWS biner untuk Boot UEFI Aman - Amazon Elastic Compute Cloud

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat gumpalan AWS biner untuk Boot UEFI Aman

Anda dapat menggunakan langkah-langkah berikut untuk menyesuaikan variabel Boot UEFI Aman selama AMI pembuatan. KEKYang digunakan dalam langkah-langkah ini adalah saat ini per September 2021. Jika Microsoft memperbaruiKEK, Anda harus menggunakan yang terbaruKEK.

Untuk membuat gumpalan AWS biner

  1. Buat daftar tanda tangan PK kosong.

    touch empty_key.crt
cert-to-efi-sig-list empty_key.crt PK.esl

  2. Unduh KEK sertifikat.

    https://go.microsoft.com/fwlink/?LinkId=321185

  3. Bungkus KEK sertifikat dalam daftar UEFI tanda tangan (siglist).

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_KEK.esl MicCorKEKCA2011_2011-06-24.crt

  4. Unduh sertifikat db Microsoft.

    https://www.microsoft.com/pkiops/certs/MicWinProPCA2011_2011-10-19.crt
https://www.microsoft.com/pkiops/certs/MicCorUEFCA2011_2011-06-27.crt

  5. Hasilkan daftar tanda tangan db.

    sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_Win_db.esl MicWinProPCA2011_2011-10-19.crt
sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_UEFI_db.esl MicCorUEFCA2011_2011-06-27.crt
cat MS_Win_db.esl MS_UEFI_db.esl > MS_db.esl

  6. Unduh permintaan perubahan dbx yang diperbarui dari tautan berikut.

    https://uefi.org/revocationlistfile

  7. Permintaan perubahan dbx yang Anda unduh pada langkah sebelumnya sudah ditandatangani dengan MicrosoftKEK, jadi Anda perlu menghapus atau membongkarnya. Anda dapat menggunakan tautan berikut.

    https://gist.github.com/out0xb2/f8e0bae94214889a89ac67fceb37f8c0
    https://support.microsoft.com/en-us/topic/microsoft-guidance-for-applying-secure-boot-dbx-update-e3b9e4cb-a330-b3ba-a602-15083965d9ca

  8. Bangun toko UEFI variabel menggunakan uefivars.py skrip.

    ./uefivars.py -i none -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

  9. Periksa gumpalan biner dan penyimpanan UEFI variabel.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o json | less

  10. Anda dapat memperbarui gumpalan dengan meneruskannya ke alat yang sama lagi.

    ./uefivars.py -i aws -I uefiblob-microsoft-keys-empty-pk.bin -o aws -O uefiblob-microsoft-keys-empty-pk.bin -P ~/PK.esl -K ~/MS_Win_KEK.esl --db ~/MS_db.esl  --dbx ~/dbx-2021-April.bin

    Keluaran yang diharapkan

    Replacing PK
Replacing KEK
Replacing db
Replacing dbx