Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 1.1
bearbeitet von Thorsten Seifert
am 2026/02/26 16:58
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 12.1
bearbeitet von Thorsten Seifert
am 2026/02/27 10:13
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,4 +1,135 @@
1 -= Austausch der Secure Boot Zertifikate =
1 +{{error}}
2 +**Die Seite befindet sich noch im Aufbau!**
2 2  
4 +Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5 +{{/error}}
3 3  
4 -Die von Microsoft im Jahr 2011 erstellten Zertifikate für Secure Boot laufen im Juni diesen Jahres ab!
7 +Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
8 +Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
9 +
10 +Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
11 +
12 += Was bedeutet dies für mich? =
13 +
14 +Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
15 +
16 +Die bedeutet, dass bis Juni:
17 +
18 +* Das virtuelle UEFI getauscht werden muss.
19 +* Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
20 +* Der Windows Bootloader aktualisiert werden muss.
21 +* Das neue Zertifikat im Bootloader aktiviert werden müssen.
22 +
23 +Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
24 +Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
25 +
26 +Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
27 +
28 += Technischer Ablauf =
29 +
30 +== VMware vSphere ==
31 +
32 +(% class="box infomessage" %)
33 +(((
34 +**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
35 +)))
36 +
37 +=== Key Exchange Key (KEK) ===
38 +
39 +* Virtuelle Maschine herunterfahren
40 +* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
41 +* Entfernen der zur VM gehörigen .vnram vom Datastore
42 +* Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
43 +* Starten der VM
44 +* Aktualisieren der VMware Tools
45 +* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
46 +
47 +=== Platform Key (PK) ===
48 +
49 +* Virtuelle Maschine Herunterfahren.
50 +* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
51 +* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
52 +* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
53 +* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
54 +** Select the PK file from disk
55 +** Review
56 +** Commit changes and exit
57 +* Virtuelle Maschine herunterfahren.
58 +* Die hinzugefügte VHD wieder aushängen.
59 +* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
60 +* Virtuelle Maschine starten.
61 +
62 +=== Kontrolle ===
63 +
64 +Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
65 +
66 +* Active authorized database: Certificate OK!"
67 +* Default authorized database:  Certificate OK!"
68 +* Key exchange keys:  Certificate OK!"
69 +* Platform key:  Certificate OK!"
70 +
71 +== Windows ==
72 +
73 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
74 +
75 +* UEFI CA2023 Update-Status: Not startet!
76 +* Bootloader-Status: Updates failed!
77 +
78 +Aktualisieren der Signaturen des Bootloaders:
79 +
80 +* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
81 +** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
82 +** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
83 +* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
84 +* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
85 +
86 +{{code language="none"}}
87 +Flag: F33E0C8E
88 + Current Configuration: F33E0C8E001
89 + State: Disabled
90 + Pending Configuration: None
91 + Pending Action: None
92 + FwLink: https://aka.ms/getsecureboot
93 + Available Configurations:
94 + F33E0C8E002
95 + F33E0C8E001
96 +{{/code}}
97 +
98 +* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
99 +* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
100 +* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
101 +
102 +=== **Kontrolle** ===
103 +
104 +Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
105 +
106 +* Active authorized database: Certificate OK!"
107 +* Default authorized database:  Certificate OK!"
108 +* Key exchange keys:  Certificate OK!"
109 +* Platform key:  Certificate OK!"
110 +* UEFI CA2023 Update-Status: Updated!
111 +* Bootloader-Status: Updated!
112 +
113 +Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
114 +
115 +
116 += Ressourcen =
117 +
118 +[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
119 +
120 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
121 +
122 +[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
123 +
124 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
125 +
126 +
127 +[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
128 +
129 +[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
130 +
131 +[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
132 +
133 +[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
134 +
135 +