管理安全启动证书更新

本文为 Azure Stack Hub 操作员提供指导，帮助其在 Azure Stack Hub 集成系统上为与安全启动证书相关的缓解步骤做好准备并完成这些步骤。

概述

Azure Stack Hub使用 OEM 固件包先决条件模型进行安全启动证书准备。 更新的安全启动证书应通过 OEM 固件包传送。 然后，平台修补程序和平台更新通过确保启动管理器更新为使用新证书链，并在不满足先决条件时显示警报，从而完成缓解措施。

Azure Stack Hub 2026 年安全启动证书过期

所有基于 Windows 的设备都在密钥交换密钥（KEK）和安全启动数据库（DB）中包含一组标准的 Microsoft 证书。 这些证书即将过期。 如果主机包含任何列出的证书版本，Azure Stack Hub主机将受到影响，如下表所示。 若要继续接收常规安全启动更新，请先应用刷新安全启动证书的相应Azure Stack Hub OEM 固件包，然后应用所需的Azure Stack Hub修补程序或更新来完成缓解。 应用修补程序或更新后，系统警报会引导管理员执行其他操作，例如更新 OEM 固件包（如果尚未应用），或运行 Privileged Endpoint （PEP） cmdlet 以根据需要更新启动管理器。

在您开始之前

在开始之前，请确保满足以下先决条件：

先决条件

• 安装最新的 OEM 固件包，用于刷新建议用于Azure Stack Hub集成系统的安全启动证书。
• 安装包含安全启动缓解逻辑的 Azure Stack Hub 修补程序或平台更新（请参阅 支持的发布路径）。
• 请准备好应对节点的受控自动重启，这类重启会在应用热修复或更新时发生，或者作为缓解过程的一部分，在通过特权终结点（PEP）cmdlet 触发强制实施步骤期间发生。

支持的发布路径

Azure Stack Hub平台更新和相应的修补程序提供安全启动缓解支持。

• Azure Stack Hub 版本 2601 通过应用最新的、包含安全启动缓解措施的 2601 热修复程序（hotfix 1.2601.1.14 或更高版本）来支持安全启动缓解。
• Azure Stack Hub 版本 2506 可通过更新到最新的、包含安全启动缓解措施的 2601 版本，或在可用时应用包含安全启动缓解措施的该版本专用修补程序，来支持安全启动缓解措施。
• Azure Stack Hub版本 2501 通过更新到支持的 2506 版本（包括安全启动缓解、可用时）或应用包含安全启动缓解的版本特定的修补程序（如果可用）来支持安全启动缓解。

这些更新和修补程序使平台能够：

• 验证是否存在通过 OEM 固件包传递的必需安全启动 2023 证书。
• 当未安装 Secure Boot 2023 证书时发出警报。
• 检测启动管理器何时尚未更新以使用新的证书链。
• 满足先决条件后，完成启动管理器更新。
• 如果在平台通过 OEM 固件包更新证书后应用更新或修补程序，启动管理器会在更新或修补程序过程中自动更新。
• 提示管理员通过平台警报运行 Privileged Endpoint （PEP） cmdlet，以在修补程序或更新后应用 OEM 固件包时完成启动管理器更新。

此强制行动计划更新启动管理器以使用更新的安全启动证书链，并可能在完成缓解过程中启动受控的自动节点重启。

建议的缓解工作流

若要确保通过平台警报清晰可见并最大程度地降低中断风险的平滑缓解过程，请遵循以下工作流：

阶段 1：首先应用 OEM 固件（建议）

• 应用包含更新后的“安全启动”2023 证书的 OEM 固件包。
• 完成任何 OEM 所需的激活步骤（特定于 OEM）。

阶段 2：应用Azure Stack Hub修补程序或更新

安装受支持的更新或适用于特定版本的热修复程序，以便为您的 Azure Stack Hub 版本启用安全启动缓解措施：

• 对于版本 2601，请应用包含安全启动缓解的最新 2601 修补程序。
• 对于版本 2506，请更新到包含安全启动缓解的最新 2601 版本，或者应用版本特定的修补程序，包括安全启动缓解（如果可用）。
• 对于版本 2501，请更新到支持的 2506 版本，包括安全启动缓解，如果可用，或应用包含安全启动缓解的版本特定的修补程序（如果可用）。

在服务期间或之后，平台会评估证书就绪情况，并根据需要显示警报。

阶段 3：完成启动管理器更新（如果需要）

如果平台通过警报指示固件证书存在，但启动管理器尚未更新为使用新证书链（如果在应用Azure Stack Hub修补程序或更新后应用 OEM 固件包），请运行以下 PEP cmdlet 以强制实施最终缓解步骤，如平台警报所示： Start-SecretRotation -UpdateBootManager。

详细的缓解逻辑（平台检查的内容）

平台在缓解过程中执行以下检查和操作：

证书就绪情况检查和警报

平台会检查是否存在所需的安全启动 2023 证书。 如果缺少任何必需的证书，平台会针对该证书发出警报，并指示操作员应用安装缺失证书的最新 OEM 固件包。

启动管理器链验证和警报

如果 DB 中存在所需的最低证书（包括 Windows UEFI CA 2023 和 2023 KEK），平台将验证启动管理器是否正在使用更新的证书链。 如果未更新启动管理器，平台会发出警报，指示操作员运行 PEP cmdlet 以完成启动管理器更新。

HLH 指南

对于由您管理硬件生命周期主机（HLH）的环境，请向您的 OEM 咨询针对 HLH 的相关指导。 如果此类指南不可用，请按照标准Microsoft Windows指南，根据 HLH 制作和模型更新固件，并完成所需的缓解步骤，如以下所述：
Windows安全启动证书过期和 CA 更新 - Microsoft 支持部门。

对租户虚拟机的影响

Azure Stack Hub中的安全启动证书更新和启动管理器缓解操作不会影响租户虚拟机。

• Azure Stack Hub 租户虚拟机属于 Gen1 虚拟机，不支持安全启动。
• 安全启动缓解操作仅适用于主机启动链，并且不修改租户 VM 配置或来宾操作系统。
• 租户工作负荷不需要来宾级别更改、重新配置或缓解步骤。
• 租户工作负荷不受影响。

对Azure Stack Hub基础结构的影响

安全启动证书缓解措施主要针对 Azure Stack Hub 物理主机。

• Azure Stack Hub 平台在 Hub 更新期间管理并更新基础结构虚拟机。
• 作为平台更新的一部分创建的或刷新的基础结构 VM 会自动选取更新的安全启动状态。

FAQ

本部分解答了有关安全启动证书缓解过程的一些常见问题。

是否需要同时应用修补程序和平台更新？

否。 你应为当前的 Azure Stack Hub 版本安装受支持的更新或特定版本的热修复：

• 对于版本 2601，请应用包含安全启动缓解的最新 2601 修补程序。
• 对于版本 2506，请更新到包含安全启动缓解的最新 2601 版本，或者在可用时应用包含安全启动缓解的版本特定的修补程序。
• 对于版本 2501，请更新到受支持的 2506 版本，该版本包括安全启动缓解、可用时或应用包含安全启动缓解的版本特定的修补程序（如果可用）。

在所有情况下，OEM 固件包都是安装所需证书的先决条件。 满足先决条件后，平台将完成启动管理器更新。

如果在 OEM 固件包之前安装了修补程序或更新，该怎么办？

平台支持此方案。 最初，平台警报指示缺少新的安全启动证书，并提示更新 OEM 固件包。 应用 OEM 固件更新后，请遵循平台警报。 如果系统提示，请运行以下 Privileged Endpoint （PEP） cmdlet 以完成启动管理器更新： Start-SecretRotation -UpdateBootManager

PEP cmdlet 是否重新启动我的系统？

PEP 强制执行流程设计为在最终确定步骤中一次重启一个节点。

故障排除

本部分提供有关缓解过程中可能出现的常见问题的故障排除步骤。

警报指示缺少证书

• 安装提供缺失证书的最新 OEM 固件包。
• 应用 OEM 固件包更新后，请遵循平台警报。 如果系统提示，请运行以下 Privileged Endpoint （PEP） cmdlet 以完成启动管理器更新： Start-SecretRotation -UpdateBootManager

警报指示启动管理器未更新

运行 Start-SecretRotation -UpdateBootManager。

后续步骤

• Azure Stack Hub安全最佳做法
• Azure Stack Hub数据收集