Bereiten Sie Ihre Azure-Umgebung vor, damit Server & Workload Protection Secure Boot unterstützen kann.
Bevor Sie beginnen:
-
Stellen Sie sicher, dass Sie die öffentlichen Schlüssel von Trend Micro und die erforderlichen CA-Zertifikate herunterladen.
Weitere Informationen finden Sie unter Sichere Boot-UEFI-Schlüssel.
Prozedur
- Wählen Sie eine Generation 2 Azure-VM mit einem Linux-Distributionsabbild, das Secure
Boot unterstützt, oder erstellen Sie eine solche.Server & Workload Protection erfordert eine Generation 2 Azure-VM, die aus einem Linux-Distributionsabbild erstellt wurde und Secure Boot unterstützt, und die folgende Kriterien erfüllt:
-
Der Sicherheitstyp ist als Trusted launch virtual machines angegeben.
-
Die Sicherheitsfunktion Enable Secure Boot ist ausgewählt.
Wenn Sie keine Generation 2 Azure-VM haben, erstellen Sie eine aus einem Linux-Distributions-Image, das Secure Boot unterstützt.- Beim Erstellen einer neuen VM wählen Sie ein VM-Image mit Unterstützung für Generation 2 aus.
- Gehen Sie zur Seite Create a virtual machine im Azure-Portal.
- Wählen Sie in der Liste Security type die Option Trusted launch virtual machines aus.
- Wählen Sie in Configure security features die Option Enable Secure Boot aus.
-
- Stellen Sie sicher, dass die Azure-VM gestoppt ist, und notieren Sie den Namen der VM-Festplatte.
- Führen Sie den Befehl
az loginlokal oder über die Cloud Shell auf Azure aus. - Führen Sie das folgende Skript Zeile für Zeile aus, um eine URL für die gemeinsame
Zugriffssignatur (SAS) zu generieren:
read -p 'Your Subscription ID: ' subscriptionId read -p 'Your Resource Group Name: ' resourceGroupName read -p 'Your Disk Name for Exporting: ' diskName read -p 'Input the Expiry Duration for SAS URL in seconds (for example, 3600): ' sasExpiryDuration read -p 'Your Storage Account Name to Hold this VHD file: ' storageAccountName read -p 'Your Storage Container Name: ' storageContainerName read -p 'Your Storage Account Key: ' storageAccountKey read -p 'Your Destination VHD File Name: ' destinationVHDFileName az account set --subscription $subscriptionId sas=$(az disk grant-access --resource-group $resourceGroupName --name $diskName --duration-in-seconds $sasExpiryDuration --query [accessSas] -o tsv) az storage blob copy start --destination-blob $destinationVHDFileName --destination-container $storageContainerName --account-name $storageAccountName --account-key $storageAccountKey --source-uri $sas
- Kopieren Sie den Code von Skript zur Registrierung von Secure Boot-Schlüsseln mit Azure und speichern Sie ihn als
CreateSIGFromOSvhdWithCustomUEFIKey.json - Ersetzen Sie die Werte innerhalb der doppelten Klammern
{{ }}im Abschnitt"parameters"der JSON-Datei.Beachten Sie Folgendes:-
Die Datei
CreateSIGFromOSvhdWithCustomUEFIKey.jsonist ein Beispiel für eine benutzerdefinierte Bereitstellung.DS20_v2.derundDS2022.derwurden bereits im Base64-Format ausgefüllt. -
Um einen weiteren öffentlichen Schlüssel in die Vorlage aufzunehmen, verwenden Sie den folgenden Befehl, um den Schlüssel in das Base64-Format zu konvertieren, und fügen Sie den Schlüssel dann der JSON-Datei hinzu:
openssl base64 -in <Trend_Micro_public_key> -A
-
- Erstellen Sie ein Shared Image Gallery (SIG)-Image mithilfe der Vorlagenbereitstellung
über Azure CLI.Verwenden Sie den folgenden Befehl:az deployment group create --resource-group <resource-group-name> --template-file CreateSIGFromOSvhdWithCustomUEFIKey.json
- Erstellen Sie eine Azure-VM mit dem benutzerdefinierten Bereitstellungsimage.
- Überprüfen Sie, ob die Schlüssel erfolgreich in die Machine Owner Key (MOK)-Liste
aufgenommen wurden.Verwenden Sie den folgenden Befehl:mokutil --db | grep Trend
- Überprüfen Sie, ob der Kernel die öffentlichen Schlüssel von Trend Micro geladen hat.Verwenden Sie den folgenden Befehl:dmesg | grep cert