Änderungen von Dokument Secure Boot Zertifikate
Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 12.3
bearbeitet von Thorsten Seifert
am 2026/02/27 10:21
am 2026/02/27 10:21
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 2.2
bearbeitet von Thorsten Seifert
am 2026/02/26 17:31
am 2026/02/26 17:31
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -1,16 +1,13 @@ 1 -{{error}} 2 -**Die Seite befindet sich noch im Aufbau!** 1 += Austausch der Secure Boot Zertifikate = 3 3 4 -Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr. 5 -{{/error}} 6 - 7 7 Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab. 8 8 Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein. 9 9 10 10 Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch! 11 11 12 -= Was bedeutet dies für mich? = 13 13 9 +== Was bedeutet dies für mich? == 10 + 14 14 Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis. 15 15 16 16 Die bedeutet, dass bis Juni: ... ... @@ -20,26 +20,15 @@ 20 20 * Der Windows Bootloader aktualisiert werden muss. 21 21 * Das neue Zertifikat im Bootloader aktiviert werden müssen. 22 22 23 -Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst. 24 -Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden! 25 - 26 26 Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert. 27 27 28 -= Technischer Ablauf = 29 29 30 -== AktuellenSecureBoot Status abfragen==23 +== Technischer Ablauf == 31 31 32 - Ausführendes Powershell Skriptes "SecureBootStatus.ps1" auf derVirtuellenMaschine in einer[[Openan Elevated>>url:https://www.lifewire.com/how-to-open-an-elevated-command-prompt-2618088]]Shell.25 +=== VMware vSphere === 33 33 34 -== VMwarevSphere ==27 +==== Key Exchange Key (KEK) ==== 35 35 36 -(% class="box infomessage" %) 37 -((( 38 -**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!** 39 -))) 40 - 41 -=== Key Exchange Key (KEK) === 42 - 43 43 * Virtuelle Maschine herunterfahren 44 44 * Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later) 45 45 * Entfernen der zur VM gehörigen .vnram vom Datastore ... ... @@ -48,7 +48,7 @@ 48 48 * Aktualisieren der VMware Tools 49 49 * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware) 50 50 51 -=== Platform Key (PK)===37 +==== Platform Key ==== 52 52 53 53 * Virtuelle Maschine Herunterfahren. 54 54 * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE" ... ... @@ -63,77 +63,18 @@ 63 63 * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen. 64 64 * Virtuelle Maschine starten. 65 65 66 -=== Kontrolle === 52 +==== Kontrolle ==== 67 67 68 68 Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben: 69 69 70 70 * Active authorized database: Certificate OK!" 71 -* Default authorized database: Certificate OK!"72 -* Key exchange keys: Certificate OK!"73 -* Platform key : Certificate OK!"57 +* Default authorized database: 58 +* Key exchange keys: 59 +* Platform key 74 74 75 -== Windows == 76 76 77 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben: 78 78 79 -* UEFI CA2023 Update-Status: Not startet! 80 -* Bootloader-Status: Updates failed! 63 +=== Windows === 81 81 82 -Aktualisieren der Signaturen des Bootloaders: 83 - 84 -* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}} 85 -** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates! 86 -** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben 87 -* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}} 88 -* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled" 89 - 90 -{{code language="none"}} 91 -Flag: F33E0C8E 92 - Current Configuration: F33E0C8E001 93 - State: Disabled 94 - Pending Configuration: None 95 - Pending Action: None 96 - FwLink: https://aka.ms/getsecureboot 97 - Available Configurations: 98 - F33E0C8E002 99 - F33E0C8E001 100 -{{/code}} 101 - 102 -* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}} 103 -* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}} 104 -* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!** 105 - 106 -=== **Kontrolle** === 107 - 108 -Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben: 109 - 110 -* Active authorized database: Certificate OK!" 111 -* Default authorized database: Certificate OK!" 112 -* Key exchange keys: Certificate OK!" 113 -* Platform key: Certificate OK!" 114 -* UEFI CA2023 Update-Status: Updated! 115 -* Bootloader-Status: Updated! 116 - 117 -Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden! 118 - 119 - 120 -= Ressourcen = 121 - 122 -[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]] 123 - 124 -[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]] 125 - 126 -[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]] 127 - 128 -[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]] 129 - 130 - 131 -[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]] 132 - 133 -[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]] 134 - 135 -[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]] 136 - 137 -[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]] 138 - 139 - 65 +* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002" 66 +*