トレンドマイクロの公開鍵をダウンロードする

• DS2022.der
  SHA-256証明書ハッシュ: BB FA 4A B8 3C 61 A0 3F 1D D0 4B A7 A4 51 75 E7 D7 EF D3 C8 4B F3 D9 FE A0 CE AB B9 2A F4 8E 92
• DS20_V2.der
  SHA-256証明書ハッシュ: B3 36 43 7B 12 B3 EB 6A 4E 4A 44 62 40 4F 1F BD 21 32 70 77 4C 33 7D 1C 5A 58 7C 99 83 F7 30 C7
  カーネル5.3.18-24.34-default以降のSuSE 15にエージェントを配備する場合、カーネルモジュールの署名の検証が変更されたため、DS20_v2.derが必要です。
• DS11_2022.der
  SHA-256証明書ハッシュ: BB FA 4A B8 3C 61 A0 3F 1D D0 4B A7 A4 51 75 E7 D7 EF D3 C8 4B F3 D9 FE A0 CE AB B9 2A F4 8E 92
  エージェントバージョン11 (DS11.der、SHA-1ハッシュ7D 96 56 5C 3A 77 B7 A7 24 49 D5 6A A5 0C 28 AA D7 3B 0B fB) の古い公開鍵は2022年12月5日に期限切れとなりました。この日以降もエージェントを使用し続けるには、新しい公開鍵を登録する必要があります。そうしないと、コンソールに「エンジンオフライン」エラーメッセージが表示され、コンピュータが保護されません。

• MicWinProPCA2011_2011-10-19.crt
  Microsoft Windows製品版PCA 2011
  SHA-256証明書ハッシュ: E8 E9 5F 07 33 A5 5E 8B AD 7B E0 A1 41 3E E2 3C 51 FC EA 64 B3 C8 FA 6A 78 69 35 FD DC C7 19 61
• MicCorUEFCA2011_2011-06-27.crt
  Microsoft Corporation UEFI CA 2011
  SHA-256証明書ハッシュ: 48 E9 9B 99 1F 57 FC 52 F7 61 49 59 9B FF 0A 58 C4 71 54 22 9B 9F 8D 60 3A C4 0D 35 00 24 85 07
• MicCorKEKCA2011_2011-06-24.crt
  Microsoft Corporation KEK CA 2011
  SHA-256証明書ハッシュ: A1 11 7F 51 6A 32 CE FC BA 3F 2D 1A CE 10 A8 79 72 FD 6B BE 8F E0 D0 B9 96 E0 9E 65 D8 02 A5 03

トレンドマイクロの公開鍵をアップデートする

エージェントを後のメジャーリリースにアップグレードします

公開鍵の有効期限が切れています

Linuxカーネルモジュールの署名検証の変更

AWSのセキュアブートキーの登録

1. 必要なものをダウンロードセキュア ブート用の CA 証明書とトレンド マイクロの公開鍵.
2. プラットフォームキーがない場合は、AWSのドキュメントを参照して、でセキュアブートプラットフォームキーを生成してください。

   警告 すべてのデバイスのファームウェアにアクセスできる場合にのみ、プラットフォームキーを置き換えてください (例: GPU)。ファームウェアの署名チェーンを新しいプラットフォームキーを使用するように更新できない場合、Secure Bootによってインスタンスが永久に起動できなくなる可能性があります。

3. セキュアブートをサポートするLinuxディストリビューションのAMIからEC2仮想マシンインスタンスを作成します。
4. そのインスタンスのコンソールで、Machine Owner Key (MOK) コマンド mokutil uefivarsとPythonをインストールします。
   例えば、Red Hat Enterprise Linuxでは、次のコマンドを実行します。
   yum install mokutil
   yum install python3
   curl -L -o uefivars.zip https://github.com/awslabs/python-uefivars/archive/refs/heads/main.zip
   unzip uefivars.zip
   DebianまたはUbuntuで、次のコマンドを実行してください:
   sudo apt-get update
   sudo apt-get install efitools
   sudo apt-get install python3
   curl -L -o uefivars.zip https://github.com/awslabs/python-uefivars/archive/refs/heads/main.zip
   unzip uefivars.zip
5. CA証明書とトレンドマイクロの公開鍵をインスタンスにアップロードします。
6. UEFI署名リスト (.esl) ファイル内に、各プラットフォームキー、CA証明書、およびトレンドマイクロ公開キーを配置します。それらを1つのファイルに結合し、バイナリ (.bin) 形式に変換します。
   例えば、使用するトレンドマイクロの公開鍵によっては、次のコマンドを入力する場合があります。
   # Convert your platform key into signatures list format
   cert-to-efi-sig-list YOUR_PLATFORM_KEY.crt YOUR_PLATFORM_KEY.esl
   # Convert CA certificates
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_CA_KEK.esl MicCorKEKCA2011_2011-06-24.crt
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_CA_PROD.esl MicWinProPCA2011_2011-10-19.crt
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output MS_CA_UEFI.esl MicCorUEFCA2011_2011-06-27.crt
   # Convert Trend Micro public keys
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS11.esl DS11_2022.der
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS20_v2.esl DS20_v2.der
   sbsiglist --owner 77fa9abd-0359-4d32-bd60-28f4e78f784b --type x509 --output TREND_UEFI_db_DS2022.esl DS2022.der
   # Combine CA and vendor public keys into one signatures list
   cat MS_CA_PROD.esl MS_CA_UEFI.esl TREND_UEFI_db_DS11.esl TREND_UEFI_db_DS12.esl TREND_UEFI_db_DS20.esl TREND_UEFI_db_DS20_v2.esl TREND_UEFI_db_DS2022.esl > ALL_SIGNATURES_db.esl
   cp *.esl /root/
   # Combine all and convert to binary
   ./python-uefivars-main/uefivars.py -i none -o aws -O YOUR_BINARY_SIGNING_CHAIN.bin -P ./YOUR_PLATFORM_KEY.esl -K ./MS_CA_KEK.esl --db ./ALL_SIGNATURES_db.esl
   ここで、77fa9abd-0359-4d32-bd60-28f4e78f784b は、Microsoft CorporationのKEK CA 2011証明書の SignatureOwner フィールドのGUIDです。
7. .bin ファイルをダウンロードします。
8. インスタンスの新しいEC2スナップショットを作成します。
9. AWS Cloudshellに移動し、[アクション]→[ファイル]→[ファイルをアップロード]を選択してから、バイナリファイルを選択します。
10. スナップショットIDとアップロードした .bin ファイルを使用して、新しいAMIを作成します。
    たとえば、以下のコマンドを入力します。
    aws ec2 register-image --name LIFT-UBUNTU20SecureBootX64 --uefi-data $(cat YOUR_BINARY_SIGNING_CHAIN.bin) --block-device-mappings "DeviceName=/dev/sda1,Ebs= {SnapshotId={{YOUR-SNAPSHOT-ID}},DeleteOnTermination=true}" --architecture x86_64 --root-device-name /dev/sda1 --virtualization-type hvm --boot-mode uefi
11. カスタマイズしたイメージを使用して、セキュアブートが有効な新しいインスタンスを作成します。
12. 次のコマンドを実行して、鍵がMOKリストに正常に登録されたことを確認します。
    mokutil --db | grep Trend
    カーネルがトレンドマイクロの公開鍵を正常にロードしたことを確認します。
    dmesg | grep cert

Google Cloud Platformのセキュアブートキーを登録する

1. 必要なものをダウンロードセキュア ブート用の CA 証明書とトレンド マイクロの公開鍵.
2. プラットフォームキーがない場合は、Google Cloud Platformのドキュメントを参照して、でプラットフォームキーを生成してください。

   警告 すべてのデバイスのファームウェアにアクセスできる場合にのみ、プラットフォームキーを置き換えてください (例: GPU)。ファームウェアの署名チェーンを新しいプラットフォームキーを使用するように更新できない場合、Secure Bootによってインスタンスが永久に起動できなくなる可能性があります。

3. セキュアブートで使用するCA証明書とトレンドマイクロの公開鍵を使用して、カスタマイズされた仮想マシンイメージを作成します。
   たとえば、次のコマンドを入力します。
   gcloud compute images create [IMAGE_NAME] \
   --source-image=[SOURCE_IMAGE] \
   --source-image-project=[SOURCE_PROJECT] \
   --platform-key-file=YOUR_PLATFORM_KEY.der \
   --signature-database-file=./MicCorUEFCA2011_2011-06-27.crt,./MicWinProPCA2011_2011-10-19.crt,./DS2022.der,./DS20_v2.der,./DS11_2022.der[,OTHER_EXISTING_KEYS] \
   --guest-os-features=UEFI_COMPATIBLE
   公開鍵はDERまたはBIN形式である必要があります。それぞれをカンマ ( , ) で区切ります。コマンドの使用方法とAPIの詳細については、Google Cloud Platformのドキュメントを参照してください。
   このコマンドを入力する際には、既存のすべてのSecure Bootキーを含める必要があります。そうしないと、既存のキーがすべて上書きされます。含めない場合、それらのキーは削除され、カーネルモジュールはロードされません。
4. カスタマイズしたイメージを使用して、セキュアブートが有効な新しい仮想マシンインスタンスを作成します。
5. 次のコマンドを実行して、キーが正常に登録されていることを確認してください:
   grep 'Trend' /proc/keys

VMware vSphereプラットフォームのセキュアブートキーの登録

1. 必要なものをダウンロードセキュア ブート用の CA 証明書とトレンド マイクロの公開鍵.
2. セキュアブートを有効にするコンピュータで、コンピュータ所有者キー (MOK) コマンド mokutilをインストールします。
   例えば、Red Hat Enterprise Linuxでは、次のコマンドを入力してください:
   yum install mokutil
   DebianまたはUbuntuでは、次のコマンドを入力してください:
   sudo apt-get update
   sudo apt-get install efitools
3. トレンドマイクロの公開鍵をMOKリストに追加し、複数の鍵がある場合はスペースで区切ります (該当する場合)。次の例は、Deep Security Agentのバージョンが20.0.0.7119より前の場合に実行するコマンドを示しています:
   mokutil --import /opt/ds_agent/DS2022.der /opt/ds_agent/DS20_v2.der
   以下の例は、Deep Security Agentバージョン20.0.0.7119以降を使用する場合に実行するコマンドを示しています。
   mokutil --import /opt/ds_agent/secureboot/DS2022.der /opt/ds_agent/secureboot/DS20_v2.der
   プロンプトが表示されたら、後で使用するパスワードを入力します。
4. コンピュータを再起動します。
5. Shim UEFIキー管理コンソールが開いたら、任意のキーを押して続行してください。
6. MOK管理画面で、MOKの登録を選択します。
7. 公開鍵の詳細を確認する必要がある場合は、キーXを選択してください。任意のキーを押してEnroll MOK画面に戻ります。
8. キーを登録する画面で続行を選択してください。
9. はいを選択し、先ほど入力したパスワードを入力してください。
10. システムを再起動する必要があります画面で、OKを選択します。
11. キーがMOKリストに正常に登録されていることを確認します。
    • ほとんどのLinuxディストリビューションでは、次のコマンドを入力してください:
      mokutil --test-key /opt/ds_agent/${certificate_file}.der
    • Debian Linux 11またはDebian Linux 12の場合、次のコマンドを入力してください:
      keyctl show %:.platform | grep 'Trend'

物理コンピュータのセキュアブートキーを登録する

1. 必要なものをダウンロードセキュア ブート用の CA 証明書とトレンド マイクロの公開鍵.
2. プラットフォームキーがない場合は、Linuxディストリビューションのドキュメントを参照してセキュアブートプラットフォームキーを生成してください。

   警告 すべてのデバイスのファームウェアにアクセスできる場合にのみ、プラットフォームキーを置き換えてください (例: GPU)。ファームウェアの署名チェーンを新しいプラットフォームキーを使用するように更新できない場合、Secure Bootによってインスタンスが永久に起動できなくなる可能性があります。

3. セキュアブートを有効にするコンピュータで、コンピュータ所有者キー (MOK) コマンド mokutilをインストールします。
   例えば、Red Hat Enterprise Linuxでは、次のコマンドを入力してください:
   yum install mokutil
   DebianまたはUbuntuでは、次のコマンドを入力してください:
   sudo apt-get update
   sudo apt-get install efitools
4. トレンドマイクロの公開鍵をMOKリストに追加し、複数の鍵がある場合はスペースで区切ります (該当する場合)。次の例は、Deep Security Agentのバージョンが20.0.0.7119より前の場合に実行するコマンドを示しています:
   mokutil --import /opt/ds_agent/DS2022.der /opt/ds_agent/DS20_v2.der
   以下の例は、Deep Security Agentバージョン20.0.0.7119以降を使用する場合に実行するコマンドを示しています。
   mokutil --import /opt/ds_agent/secureboot/DS2022.der /opt/ds_agent/secureboot/DS20_v2.der
   プロンプトが表示されたら、後で使用するパスワードを入力します。
5. コンピュータを再起動します。
6. Shim UEFIキー管理コンソールが開いたら、任意のキーを押して続行してください。
7. MOK管理画面で、MOKの登録を選択します。
8. 公開鍵の詳細を確認する必要がある場合は、キーXを選択してください。任意のキーを押してEnroll MOK画面に戻ります。
9. キーを登録する画面で続行を選択してください。
10. はいを選択し、先ほど入力したパスワードを入力してください。
11. システムを再起動する必要があります画面で、OKを選択します。
12. キーがMOKリストに正常に登録されていることを確認します。
    • ほとんどのLinuxディストリビューションでは、次のコマンドを入力してください:
      mokutil --test-key /opt/ds_agent/${certificate_file}.der
    • Debian Linux 11またはDebian Linux 12の場合、次のコマンドを入力してください:
      keyctl show %:.platform | grep 'Trend'

Oracle Linux用のセキュアブートキーの登録

1. 必要なものをダウンロードセキュア ブート用の CA 証明書とトレンド マイクロの公開鍵.
2. セキュアブートで使用するカーネルイメージおよびカーネルモジュールの署名については、Oracle Linuxのドキュメントを参照してください。
3. カーネルイメージへのモジュール証明書の挿入の手順が表示されたら、pubkey.derをトレンドマイクロの公開鍵の名前に置き換えます。例:
   sudo /usr/src/kernels/$(uname -r)/scripts/insert-sys-cert -s /boot/System.map$(uname -r) -z /boot/vmlinuz$(uname -r) -c ./DS20_v2.der
4. 残りの手順を続行して、カーネルブートイメージに署名します。
5. 次のコマンドを実行して、キーがbuiltin_trusted_keysキーリングにリストされていることを確認してください。
   sudo keyctl show %:.builtin_trusted_keys | grep 'Trend'

Azureのセキュアブートキーの登録

1. 必要なものをダウンロードセキュア ブート用の CA 証明書とトレンド マイクロの公開鍵.
2. 次の手順に従って、Secure BootをサポートするLinuxディストリビューションイメージから第2世代のAzure VMを作成します。
   1. 世代2がサポートされているVMイメージを選択してください。
   2. Azureポータルで[仮想マシンを作成]ページに移動します。
   3. [セキュリティタイプ]リストから[信頼された起動仮想マシン]を選択します。
   4. [セキュリティ機能を構成する]で[セキュアブートを有効にする]を選択します。
   次の条件を満たすカスタムイメージ用の第2世代Azure VMを既にお持ちの場合は、前の手順をスキップしてください。
   • セキュリティタイプは[信頼された起動仮想マシン]として指定されています。
   • [セキュアブートを有効にする]セキュリティ機能が選択されています。
3. Azure VMを停止し、VMディスク名をメモしてください。
4. ローカルまたはAzureのCloud Shellでaz loginコマンドを実行します。
5. 次のスクリプトを1行ずつ実行して、共有アクセス署名 (SAS) URL を生成してください:
   read -p 'Your Subscription ID: ' subscriptionId
   read -p 'Your Resource Group Name: ' resourceGroupName
   read -p 'Your Disk Name for Exporting: ' diskName
   read -p 'Input the Expiry Duration for SAS URL in seconds (for example, 3600): ' sasExpiryDuration
   read -p 'Your Storage Account Name to Hold this VHD file: ' storageAccountName
   read -p 'Your Storage Container Name: ' storageContainerName
   read -p 'Your Storage Account Key: ' storageAccountKey
   read -p 'Your Destination VHD File Name: ' destinationVHDFileName
   az account set --subscription $subscriptionId
   sas=$(az disk grant-access --resource-group $resourceGroupName --name $diskName --duration-in-seconds $sasExpiryDuration --query [accessSas] -o tsv)
   az storage blob copy start --destination-blob $destinationVHDFileName --destination-container $storageContainerName --account-name $storageAccountName --account-key $storageAccountKey --source-uri $sas
6. 次のファイルの内容をコピーして、CreateSIGFromOSvhdWithCustomUEFIKey.jsonとして保存してください。
   { "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json", "contentVersion": "1.0.0.0", "parameters": { "galleryName": { "defaultValue": "{{ change to custom gallary name for the deployed template }}", "type": "String", "metadata": { "description": "Name of the gallery" } }, "imageDefinitionName": { "defaultValue": "{{ change to custom image definition name }}", "type": "String", "metadata": { "description": "Name of the image definition" } }, "versionName": { "defaultValue": "{{ change to custom image version }}", "type": "String", "metadata": { "description": "Name of the image version" } }, "storageAccountName": { "defaultValue": "{{ change to custom storage account name contains the exported OS vhd }}", "type": "string", "metadata": { "description": "Storage account name containing the OS vhd" } }, "vhdURI": { "defaultValue": "{{ change to custom vhd URL of the exported OS vhd }}", "type": "String", "metadata": { "description": "OS vhd URL" } }, "imagePublisher": { "defaultValue": "{{ change to custom image publisher name }}", "type": "String", "metadata": { "description": "Publisher name of the image" } }, "offer": { "defaultValue": "{{ change to custom image offer name }}", "type": "String", "metadata": { "description": "Offer of the image" } }, "sku": { "defaultValue": "{{ change to custom image sku name }}", "type": "String", "metadata": { "description": "Sku of the image" } }, "osType": { "defaultValue": "Linux", "allowedValues": [ "Windows", "Linux" ], "type": "String", "metadata": { "description": "Operating system type" } }, "gallerySecurityType": { "defaultValue": "TrustedLaunchSupported", "type": "String", "allowedValues": [ "TrustedLaunchSupported", "TrustedLaunchAndConfidentialVMSupported" ], "metadata": { "description": "Gallery Image security type" } }, "customDBKeyDS20V2": { "defaultValue": "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", "type": "String", "metadata": { "description": "Custom UEFI DB DS20_V2.der in base64 format" } }, "customDBKeyDS2022": { "defaultValue": "MIIFzzCCA7egAwIBAgIJAIfzdTk2xdt2MA0GCSqGSIb3DQEBCwUAMG0xGjAYBgNVBAoMEVRyZW5kIE1pY3JvLCBJbmMuMScwJQYDVQQDDB5UcmVuZCBNaWNybyBEZWVwIFNlY3VyaXR5IDIwMjIxJjAkBgkqhkiG9w0BCQEWF2NzdXBwb3J0QHRyZW5kbWljcm8uY29tMB4XDTIxMTEyNjA2MzI0OVoXDTMxMTEyNDA2MzI0OVowbTEaMBgGA1UECgwRVHJlbmQgTWljcm8sIEluYy4xJzAlBgNVBAMMHlRyZW5kIE1pY3JvIERlZXAgU2VjdXJpdHkgMjAyMjEmMCQGCSqGSIb3DQEJARYXY3N1cHBvcnRAdHJlbmRtaWNyby5jb20wggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCWb6JAyvw0PoMfHEMoBtj3hsRS8q5TPFoa6vDrAOcJZf0MTw3NZjlbnNzVP/Ri4J5DGpOWDXLte0ngugtdAG+w3y8UY8K2agEq1ehGIB3iUz45zPqDiQWs/huafj96q9FzNlWkLJT+M0E2l0qpNJ9NlyphbQ+cnccm1fHrNOMNtEbm31nW4DVD9VyB7BFf4NRS2h4FiDjRqUTAREMfk84MReQNEP98kPZLXR3ajE4MTZztYF6INR68nK9Jzig/vJjMRpMwFp+VkQaFnbiti6hbfRjS/GbCW62aJJCTHEavbyJKKY1+MRG406lYVlpH632iyvHfj2ni+B7lLvfi5qag+27mX+rBxlqLGuiwNu0geGv5GTlmDyx2onNWRz1akk5GJUloY2xG9ak92o6WsnDdJCXlFHytPc0R+FleZ/nNNpyzPYr1V8pqWenk+wpVcA7BsuRHofWYzut98GkjGYWXXjsipaDt1V2tTKNexFgzMCUIi/tJGmUe3U6czS4zk3tXiTq2Z3kZvrV59nRWJ+QEdax0ICNZH6AEqNNajgvcvP9WcZmOtgozNxoJuQrCETMKcPQ+JgLbSAiZU7zLIp1z7XF358G7Azu/AGFpJ0orSpZ9f2J7f1WQ8CsHUgz9KISw6P7b8j160CCEbLBxcRnORCGSeVpO5tdKt4a7oil5wwIDAQABo3IwcDAMBgNVHRMBAf8EAjAAMAsGA1UdDwQEAwIHgDATBgNVHSUEDDAKBggrBgEFBQcDAzAdBgNVHQ4EFgQUnbil6RHtl1sidPNZk/35mq9EaWAwHwYDVR0jBBgwFoAUnbil6RHtl1sidPNZk/35mq9EaWAwDQYJKoZIhvcNAQELBQADggIBADsauvVNB9jPnlkOJY48eayLDfDN6JMriDA8Q0s0X9EZtTBMcRSNGIQjtyr4LOCOMNrUGMG2XFKHa8S17QYtcFM/2Y+t7aOilSTokWTkwC9jU1XBESH7fV44d/fYEO5yD3LBYw5BIEgSqJg39rdWWWOD6N1CGRwH3SZwT1aeDj7+YqCYXIUFR/jUm6SXyenoxIlSkn6Ymf3Pil3GtnqqxW1+VfkL6YOa715/3ZxqdWfvf1ArUL0spEtQEm4yHwdCuhPWbIG1RKejSFSLk92B/RdxqvYXiCxZ5SLziOLslvW0s48LrQ0TEr/HWhiuJ2Q//NSSCllUYy9f6CwXnW38xml+zZu/I8qJ5smI19JfO77HeRGACNSp2GC/C2mamLb1dSXSDKG6YomcrEFSO9oll/gfi6hwCw5Lx21/dD2SBjKMnwBYGRvDsovE2BQ26GnzvKQbJZW+kN6s5Gi3L0C56kSLLZUFJUxkKFN2//Qyu0cMC0oeecr+CYDxAHD2FMf4HGJAAScnk9mcEhxYs+B2IW/nCaRjbYvUg1LdaOR9oCXH14rh+FJ9DZmR84ia/YArHOJXSX/ziy0ftePgAGqQBmHNIPDA0TSGUYg/P5fcfYTT2bKO6lV/uXiqmDQuuCm1ietUpaTAJ0kWdDxhDzJem+N1qABRpuT93xbaapiX3199", "type": "String", "metadata": { "description": "Custom UEFI DB DS2022.der in base64 format" } } }, "variables": { "linuxSignatureTemplate": "MicrosoftUefiCertificateAuthorityTemplate", "windowsSignatureTemplate": "MicrosoftWindowsTemplate" }, "resources": [ { "type": "Microsoft.Compute/galleries", "apiVersion": "2022-01-03", "name": "[parameters('galleryName')]", "location": "[resourceGroup().location]", "tags": { "AzSecPackAutoConfigReady": "true" }, "properties": { "identifier": {} } }, { "type": "Microsoft.Compute/galleries/images", "apiVersion": "2022-08-03", "name": "[concat(parameters('galleryName'), '/', parameters('imageDefinitionName'))]", "location": "[resourceGroup().location]", "dependsOn": [ "[resourceId('Microsoft.Compute/galleries', parameters('galleryName'))]" ], "tags": { "AzSecPackAutoConfigReady": "true" }, "properties": { "hyperVGeneration": "V2", "architecture": "x64", "osType": "[parameters('osType')]", "osState": "Generalized", "identifier": { "publisher": "[parameters('imagePublisher')]", "offer": "[parameters('offer')]", "sku": "[parameters('sku')]" }, "features": [ { "name": "SecurityType", "value": "TrustedLaunchSupported" } ], "recommended": { "vCPUs": { "min": 1, "max": 16 }, "memory": { "min": 1, "max": 32 } } } }, { "type": "Microsoft.Compute/galleries/images/versions", "apiVersion": "2022-08-03", "name": "[concat(parameters('galleryName'), '/',parameters('imageDefinitionName'),'/', parameters('versionName'))]", "location": "[resourceGroup().location]", "dependsOn": [ "[resourceId('Microsoft.Compute/galleries/images', parameters('galleryName'), parameters('imageDefinitionName'))]", "[resourceId('Microsoft.Compute/galleries', parameters('galleryName'))]" ], "properties": { "publishingProfile": { "targetRegions": [ { "name": "[resourceGroup().location]", "regionalReplicaCount": 1 } ] }, "storageProfile": { "osDiskImage": { "hostCaching": "ReadOnly", "source": { "uri": "[parameters('vhdURI')]", "storageAccountId": "[resourceId('Microsoft.Storage/storageAccounts', parameters('storageAccountName'))]" } } }, "securityProfile": { "uefiSettings": { "signatureTemplateNames": [ "[if(equals(parameters('osType'),'Linux'), variables('linuxSignatureTemplate'), variables('windowsSignatureTemplate'))]" ], "additionalSignatures": { "db": [ { "type": "x509", "value": [ "[parameters('customDBKeyDS20')]" ] }, { "type": "x509", "value": [ "[parameters('customDBKeyDS20V2')]" ] }, { "type": "x509", "value": [ "[parameters('customDBKeyDS2022')]" ] } ] } } } } } ] }
7. "parameters"セクションのCreateSIGFromOSvhdWithCustomUEFIKey.jsonファイル内の{{ }}の値を次の点に留意して置き換えてください:
   • 前述のCreateSIGFromOSvhdWithCustomUEFIKey.jsonファイルは、カスタムデプロイメントの例です。DS20_v2.derとDS2022.derはすでにBase64形式で入力されています。
   • 別の公開鍵をテンプレートに登録するには、次のコマンドを使用して鍵をBase64形式に変換し、JSONファイルに鍵を追加します:
     openssl base64 -in <Trend_Micro_public_key> -A
8. Azure CLIを使用してテンプレートデプロイメントによって共有イメージギャラリー (SIG) イメージを作成するには、次のようにします。
   az deployment group create --resource-group <resource-group-name> --template-file CreateSIGFromOSvhdWithCustomUEFIKey.json
9. カスタムデプロイメントイメージによってAzure VMを作成します。
10. 次のコマンドを実行して、キーがMachine Owner Key (MOK) リストに正常に登録されていることを確認してください。
    mokutil --db | grep Trend
11. 次のコマンドを実行して、カーネルがトレンドマイクロの公開鍵をロードしたことを確認します。
    dmesg | grep cert