Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 1.2
bearbeitet von Thorsten Seifert
am 2026/02/26 16:59
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 2.1
bearbeitet von Thorsten Seifert
am 2026/02/26 17:30
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,6 +1,65 @@
1 1  = Austausch der Secure Boot Zertifikate =
2 2  
3 -Die von Microsoft im Jahr 2011 erstellten Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
4 -Auf Client Systemen sollten die neuen Zertifikate bereits über Windows Update installiert sein.
3 +Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
4 +Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
5 5  
6 -Auf Server-Sys
6 +Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
7 +
8 +
9 +== Was bedeutet dies für mich? ==
10 +
11 +Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
12 +
13 +Die bedeutet, dass bis Juni:
14 +
15 +* Das virtuelle UEFI getauscht werden muss.
16 +* Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
17 +* Der Windows Bootloader aktualisiert werden muss.
18 +* Das neue Zertifikat im Bootloader aktiviert werden müssen.
19 +
20 +Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
21 +
22 +
23 +== Technischer Ablauf ==
24 +
25 +=== VMware vSphere ===
26 +
27 +==== Key Exchange Key (KEK) ====
28 +
29 +* Virtuelle Maschine herunterfahren
30 +* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
31 +* Entfernen der zur VM gehörigen .vnram vom Datastore
32 +* Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
33 +* Starten der VM
34 +* Aktualisieren der VMware Tools
35 +* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
36 +
37 +==== Platform Key ====
38 +
39 +* Virtuelle Maschine Herunterfahren.
40 +* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
41 +* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
42 +* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
43 +* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
44 +** Select the PK file from disk
45 +** Review
46 +** Commit changes and exit
47 +* Virtuelle Maschine herunterfahren.
48 +* Die hinzugefügte VHD wieder aushängen.
49 +* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
50 +* Virtuelle Maschine starten.
51 +
52 +==== Kontrolle ====
53 +
54 +
55 +* Active authorized database
56 +* Default authorized database
57 +* Key exchange keys
58 +* Platform key
59 +
60 +
61 +
62 +=== Windows ===
63 +
64 +* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002"
65 +*