Zum Inhalt springen

Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/26 18:04

Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.

Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!

Was bedeutet dies für mich?

Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf Windows Basis.

Die bedeutet, dass bis Juni:

  • Das virtuelle UEFI getauscht werden muss.
  • Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
  • Der Windows Bootloader aktualisiert werden muss.
  • Das neue Zertifikat im Bootloader aktiviert werden müssen.

Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!

Auf virtuellen Linux Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.

Technischer Ablauf

VMware vSphere

Diesen Teil übernimmt, in Abstimmung mit den Verantwortlichen der virtuellen Maschine, das Rechenzentrum!

Key Exchange Key (KEK)

  • Virtuelle Maschine herunterfahren
  • Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
  • Entfernen der zur VM gehörigen .vnram vom Datastore
  • Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
  • Starten der VM
  • Aktualisieren der VMware Tools
  • Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)

Platform Key

  • Virtuelle Maschine Herunterfahren.
  • Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
  • Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
  • VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
  • Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
    • Select the PK file from disk
    • Review
    • Commit changes and exit
  • Virtuelle Maschine herunterfahren.
  • Die hinzugefügte VHD wieder aushängen.
  • Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
  • Virtuelle Maschine starten.

Kontrolle

Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:

  • Active authorized database: Certificate OK!"
  • Default authorized database:  Certificate OK!"
  • Key exchange keys:  Certificate OK!"
  • Platform key:  Certificate OK!"

Windows

Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:

  • UEFI CA2023 Update-Status: Not startet!
  • Bootloader-Status: Updates failed!

Aktualisieren der Signaturen des Bootloaders:

  • Update-Status für das UEFI-Zertifikat abfragen:Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}
    • Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
    • Die Ausgabe sollte als WindowsUEFICA2023Capable "1" und UEFICA2023Status "NotStartet" ausgeben
  • Signatur des Bootloader Kontrollieren: In der Powershell WinCsFlags.exe /query --key F33E0C8E002
  • Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
Flag: F33E0C8E
  Current Configuration: F33E0C8E001
  State: Disabled
  Pending Configuration: None
  Pending Action: None
  FwLink: https://aka.ms/getsecureboot
  Available Configurations:
    F33E0C8E002
    F33E0C8E001
  • Hinzufügen der Signatur zum Secure Boot Updater: WinCsFlags.exe /apply --key "F33E0C8E002"
  • Update des Secure Boot Bootloaders: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • Die Virtuelle Maschine muss mindestens zwei mal neu gestartet werden!

Kontrolle

Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:

  • Active authorized database: Certificate OK!"
  • Default authorized database:  Certificate OK!"
  • Key exchange keys:  Certificate OK!"
  • Platform key:  Certificate OK!"
  • UEFI CA2023 Update-Status: Updated!
  • Bootloader-Status: Updated!

Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!