檢視次數:

準備您的 Azure 環境以允許 Server & Workload Protection 支援安全啟動。

在您開始之前:
如需詳細資訊,請參閱安全啟動 UEFI 金鑰

步驟

  1. 選擇或建立具有支援安全啟動的 Linux 發行版映像的第二代 Azure VM。
    Server & Workload Protection 需要從支援安全啟動的 Linux 發行版映像建立的第二代 Azure VM,並符合以下條件:
    • 安全類型指定為「Trusted launch virtual machines」
    • 已選擇「Enable Secure Boot」安全功能。
    如果您沒有第二代 Azure VM,請從支援安全啟動的 Linux 發行版映像中建立一個。
    1. 建立新虛擬機器時,請選擇支援第二代的虛擬機器映像。
    2. 前往 Azure 入口網站中的「Create a virtual machine」頁面。
    3. 「Security type」清單中,選擇「Trusted launch virtual machines」
    4. 「Configure security features」中,選取「Enable Secure Boot」
  2. 確保 Azure 虛擬機器已停止,並記下虛擬機器磁碟名稱。
  3. 在本地或透過 Azure 的雲端 Shell 執行 az login 命令。
  4. 逐行執行以下腳本以生成共用存取簽章 (SAS) URL:
    read -p 'Your Subscription ID: ' subscriptionId
read -p 'Your Resource Group Name: ' resourceGroupName
read -p 'Your Disk Name for Exporting: ' diskName
read -p 'Input the Expiry Duration for SAS URL in seconds (for example, 3600): ' sasExpiryDuration
read -p 'Your Storage Account Name to Hold this VHD file: ' storageAccountName
read -p 'Your Storage Container Name: ' storageContainerName
read -p 'Your Storage Account Key: ' storageAccountKey
read -p 'Your Destination VHD File Name: ' destinationVHDFileName
az account set --subscription $subscriptionId
sas=$(az disk grant-access --resource-group $resourceGroupName --name $diskName --duration-in-seconds $sasExpiryDuration --query [accessSas] -o tsv)
az storage blob copy start --destination-blob $destinationVHDFileName --destination-container $storageContainerName --account-name $storageAccountName --account-key $storageAccountKey --source-uri $sas
  5. 用於在 Azure 中註冊安全啟動密鑰的腳本 複製代碼並將其儲存為 CreateSIGFromOSvhdWithCustomUEFIKey.json
  6. 將 JSON 檔案中 "parameters" 區段內的雙括號 {{ }} 中的值替換。
    請記住以下事項:
    • CreateSIGFromOSvhdWithCustomUEFIKey.json 檔案是自訂部署的範例。DS20_v2.derDS2022.der 已經以 Base64 格式填入。
    • 若要將另一個公鑰註冊到範本中,請使用以下命令將密鑰轉換為 Base64 格式,然後將密鑰新增到 JSON 檔案中:
      openssl base64 -in <Trend_Micro_public_key> -A
  7. 使用 Azure CLI 透過範本部署建立共用映像庫 (SIG) 映像。
    使用下列指令:
    az deployment group create --resource-group <resource-group-name> --template-file CreateSIGFromOSvhdWithCustomUEFIKey.json
  8. 使用自訂部署映像建立 Azure 虛擬機。
  9. 驗證金鑰是否已成功註冊到機器擁有者金鑰(MOK)列表中。
    使用下列指令:
    mokutil --db | grep Trend
  10. 驗證核心是否已載入趨勢科技的公鑰。
    使用下列指令:
    dmesg | grep cert
相關資訊