ビュー:

Azure環境を準備して、Server & Workload Protectionがセキュアブートをサポートできるようにします。

始める前に:
詳細については、Secure Boot UEFI keysを参照してください。

手順

  1. Secure BootをサポートするLinuxディストリビューションイメージを使用して、世代2のAzure VMを選択または作成してください。
    Azure
    • セキュリティタイプは[Trusted launch virtual machines]として指定されています。
    • [Enable Secure Boot]セキュリティ機能が選択されています。
    世代2のAzure VMをお持ちでない場合、Secure BootをサポートするLinuxディストリビューションイメージから作成してください。
    1. 新しいVMを作成する際は、世代2がサポートされているVMイメージを選択してください。
    2. Azureポータルで[Create a virtual machine]ページに移動します。
    3. [Security type]リストから[Trusted launch virtual machines]を選択します。
    4. [Configure security features] で、[Enable Secure Boot] を選択します。
  2. Azure VMを停止し、VMディスク名をメモしてください。
  3. AzureでローカルまたはCloud Shellを通じてaz loginコマンドを実行します。
  4. 次のスクリプトを行ごとに実行して、共有アクセス署名 (SAS) URL を生成してください。
    read -p 'Your Subscription ID: ' subscriptionId
read -p 'Your Resource Group Name: ' resourceGroupName
read -p 'Your Disk Name for Exporting: ' diskName
read -p 'Input the Expiry Duration for SAS URL in seconds (for example, 3600): ' sasExpiryDuration
read -p 'Your Storage Account Name to Hold this VHD file: ' storageAccountName
read -p 'Your Storage Container Name: ' storageContainerName
read -p 'Your Storage Account Key: ' storageAccountKey
read -p 'Your Destination VHD File Name: ' destinationVHDFileName
az account set --subscription $subscriptionId
sas=$(az disk grant-access --resource-group $resourceGroupName --name $diskName --duration-in-seconds $sasExpiryDuration --query [accessSas] -o tsv)
az storage blob copy start --destination-blob $destinationVHDFileName --destination-container $storageContainerName --account-name $storageAccountName --account-key $storageAccountKey --source-uri $sas
  5. AzureでSecure Bootキーを登録するためのスクリプトからコードをコピーしてCreateSIGFromOSvhdWithCustomUEFIKey.jsonとして保存してください
  6. JSONファイルの"parameters"セクション内の二重括弧{{ }}の値を置き換えてください。
    次の点に注意してください。
    • CreateSIGFromOSvhdWithCustomUEFIKey.jsonファイルはカスタムデプロイメントの例です。DS20_v2.derDS2022.derはすでにBase64形式で記入されています。
    • 別の公開鍵をテンプレートに登録するには、次のコマンドを使用して鍵をBase64形式に変換し、その後JSONファイルに鍵を追加してください。
      openssl base64 -in <Trend_Micro_public_key> -A
  7. Azure CLIを使用してテンプレートデプロイメントによる共有イメージギャラリー (SIG) イメージを作成します。
    次のコマンドを使用します。
    az deployment group create --resource-group <resource-group-name> --template-file CreateSIGFromOSvhdWithCustomUEFIKey.json
  8. カスタムデプロイメントイメージを使用してAzure VMを作成します。
  9. キーがMachine Owner Key (MOK) リストに正常に登録されていることを確認してください。
    次のコマンドを使用します。
    mokutil --db | grep Trend
  10. カーネルがトレンドマイクロの公開鍵をロードしたことを確認します。
    次のコマンドを使用します。
    dmesg | grep cert
関連情報