Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 1.2
bearbeitet von Thorsten Seifert
am 2026/02/26 16:59
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 4.3
bearbeitet von Thorsten Seifert
am 2026/02/26 18:02
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,6 +1,102 @@
1 -= Austausch der Secure Boot Zertifikate =
1 +Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
2 +Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
2 2  
3 -Die von Microsoft im Jahr 2011 erstellten Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
4 -Auf Client Systemen sollten die neuen Zertifikate bereits über Windows Update installiert sein.
4 +Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
5 5  
6 -Auf Server-Sys
6 += Was bedeutet dies für mich? =
7 +
8 +Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
9 +
10 +Die bedeutet, dass bis Juni:
11 +
12 +* Das virtuelle UEFI getauscht werden muss.
13 +* Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
14 +* Der Windows Bootloader aktualisiert werden muss.
15 +* Das neue Zertifikat im Bootloader aktiviert werden müssen.
16 +
17 +Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
18 +Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
19 +
20 +Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
21 +
22 += Technischer Ablauf =
23 +
24 +== VMware vSphere ==
25 +
26 +=== Key Exchange Key (KEK) ===
27 +
28 +* Virtuelle Maschine herunterfahren
29 +* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
30 +* Entfernen der zur VM gehörigen .vnram vom Datastore
31 +* Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
32 +* Starten der VM
33 +* Aktualisieren der VMware Tools
34 +* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
35 +
36 +=== Platform Key ===
37 +
38 +* Virtuelle Maschine Herunterfahren.
39 +* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
40 +* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
41 +* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
42 +* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
43 +** Select the PK file from disk
44 +** Review
45 +** Commit changes and exit
46 +* Virtuelle Maschine herunterfahren.
47 +* Die hinzugefügte VHD wieder aushängen.
48 +* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
49 +* Virtuelle Maschine starten.
50 +
51 +=== Kontrolle ===
52 +
53 +Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
54 +
55 +* Active authorized database: Certificate OK!"
56 +* Default authorized database:  Certificate OK!"
57 +* Key exchange keys:  Certificate OK!"
58 +* Platform key:  Certificate OK!"
59 +
60 +== Windows ==
61 +
62 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
63 +
64 +* UEFI CA2023 Update-Status: Not startet!
65 +* Bootloader-Status: Updates failed!
66 +
67 +Aktualisieren der Signaturen des Bootloaders:
68 +
69 +* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
70 +** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
71 +** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
72 +* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
73 +* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
74 +
75 +{{code language="none"}}
76 +Flag: F33E0C8E
77 + Current Configuration: F33E0C8E001
78 + State: Disabled
79 + Pending Configuration: None
80 + Pending Action: None
81 + FwLink: https://aka.ms/getsecureboot
82 + Available Configurations:
83 + F33E0C8E002
84 + F33E0C8E001
85 +{{/code}}
86 +
87 +* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
88 +* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
89 +* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
90 +
91 +=== **Kontrolle** ===
92 +
93 +Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
94 +
95 +* Active authorized database: Certificate OK!"
96 +* Default authorized database:  Certificate OK!"
97 +* Key exchange keys:  Certificate OK!"
98 +* Platform key:  Certificate OK!"
99 +* UEFI CA2023 Update-Status: Updated!
100 +* Bootloader-Status: Updated!
101 +
102 +Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!