はじめに
年始ごろのから騒がれているセキュアブート証明書の有効期限が切れる問題について、確認を行ったのでメモしておきます。
現状、Google Cloud PlatformでRocky Linuxを12台稼働させています。
各マシンごとに構築した日時も異なり、OSバージョンも異なります。
Googleが公開しているヘルプページを参考に作業していきます。
Linuxにもセキュアブートあるの?
セキュアブートと言えばWindowsだけと勝手に思い込んでいましたが、Rocky LinuxやUbuntuも対応しているそうです。
Google Cloud Platformでは、Shielded VM という項目に「セキュアブート」がありました。
現状の証明書を確認
インストールした覚えが無いが、勝手に入っているだろう関連する証明書を確認します。
ヘルプページによると3種類があるようです。
| 証明書名 | 用途 | 有効期限 |
|---|---|---|
| Microsoft Corporation KEK CA 2011 | DBとDBXの更新に使用される | 2026年06月24日 |
| Microsoft Windows Production PCA 2011 | Windowsブートローダーに署名するために使用される | 2026年10月19日 |
| Microsoft Corporation UEFI CA 2011 | Linux Shim などのサードパーティ製ブートローダーに署名する | 2026年06月27日 |
これらの証明書が入っているか確認して行きます。
現状の証明書を確認
ちなみに、efi-readvar コマンドが入っていなかったので、mokutil コマンドで確認しています。
KEKに格納されている証明書
[root@sv01 ~]# mokutil --kek
[key 1]
SHA1 Fingerprint: 99:59:0b:fd:89:c9:d7:4e:d0:87:df:ac:66:33:4b:39:31:99:99:99
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
99:99:d1:88:00:00:00:00:99:99
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root
Validity
Not Before: Jun 24 20:41:29 2011 GMT
Not After : Jun 24 20:51:29 2026 GMT
Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation KEK CA 2011
※省略※
DBに格納されている証明書
※2個あります。
[root@sv01 ~]# mokutil --db
[key 1]
SHA1 Fingerprint: 99:99:99:3b:5c:e6:1c:f8:ba:0d:e2:e6:63:9c:10:19:d0:ed:99:99
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
99:99:99:c4:00:00:00:00:00:99
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root
Validity
Not Before: Jun 27 21:22:45 2011 GMT
Not After : Jun 27 21:32:45 2026 GMT
Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation UEFI CA 2011
※省略※
[key 2]
SHA1 Fingerprint: 99:99:99:99:c4:e4:b6:69:b9:eb:dc:1b:2b:3e:08:7b:99:99:99:99
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
99:99:99:56:00:00:00:00:00:99
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010
Validity
Not Before: Oct 19 18:41:42 2011 GMT
Not After : Oct 19 18:51:42 2026 GMT
Subject: C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Windows Production PCA 2011
※省略※
SubjectのCNが証明書名で、ValidityのNot Afterが有効期限の様です。
どの証明書も有効期限が2026年の6月と10月になっていますでの、セキュアブートを利用しているなら、更新作業が必要になってきます。
セキュアブートの設定確認
Google Cloud Platform 内のマシンなので、ウェブコンソールの方でVMインスタンスの詳細ページで出来ます。
何回もクリックするのが面倒なので、コマンドで確認しました。
[root@sv01 ~]# gcloud compute instances list \
--format="table(name, zone, creationTimestamp, shieldedInstanceConfig.enableSecureBoot:label=SECURE_BOOT)"
NAME ZONE CREATION_TIMESTAMP SECURE_BOOT
frontsv01 asia-northeast1-a 2024-05-16T19:02:41.343-07:00 False
frontsv02 asia-northeast1-a 2024-05-19T22:18:01.262-07:00 False
frontsv03 asia-northeast1-a 2024-05-21T20:48:43.419-07:00 False
frontsv04 asia-northeast1-a 2024-06-04T18:58:40.912-07:00 False
全台ともセキュアブートはオフ(利用しない)となっている事が確認できました。
さいごに
セキュアブートに関連する証明書がインストールされていて、有効期限が切れる事は確認できましたが、根本的にセキュアブートを利用していないので、関連証明書の更新作業は不要だと判断して、何もしないことにしました。
コメント