Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 12.4
bearbeitet von Thorsten Seifert
am 2026/02/27 10:22
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 4.2
bearbeitet von Thorsten Seifert
am 2026/02/26 18:01
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,14 +7,9 @@
1 -{{error}}
2 -**Die Seite befindet sich noch im Aufbau!**
3 -
4 -Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5 -{{/error}}
6 -
7 7  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
8 8  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
9 9  
10 10  Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
11 11  
6 +
12 12  = Was bedeutet dies für mich? =
13 13  
14 14  Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
... ... @@ -21,25 +21,15 @@
21 21  * Das neue Zertifikat im Bootloader aktiviert werden müssen.
22 22  
23 23  Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
24 -Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
25 25  
20 +
26 26  Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
27 27  
23 +
28 28  = Technischer Ablauf =
29 29  
30 -== Aktuellen Secure Boot Status abfragen ==
31 -
32 -Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell.
33 -
34 -Die Ausgabe auf einem Host, bei dem die Zertifikate fehlen, sie
35 -
36 36  == VMware vSphere ==
37 37  
38 -(% class="box infomessage" %)
39 -(((
40 -**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
41 -)))
42 -
43 43  === Key Exchange Key (KEK) ===
44 44  
45 45  * Virtuelle Maschine herunterfahren
... ... @@ -50,7 +50,7 @@
50 50  * Aktualisieren der VMware Tools
51 51  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
52 52  
53 -=== Platform Key (PK) ===
38 +=== Platform Key ===
54 54  
55 55  * Virtuelle Maschine Herunterfahren.
56 56  * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
... ... @@ -76,12 +76,12 @@
76 76  
77 77  == Windows ==
78 78  
79 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
64 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
80 80  
81 81  * UEFI CA2023 Update-Status: Not startet!
82 82  * Bootloader-Status: Updates failed!
83 83  
84 -Aktualisieren der Signaturen des Bootloaders:
69 +Aktualisieren der Signaturen des Bootloaders
85 85  
86 86  * Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
87 87  ** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
... ... @@ -117,25 +117,3 @@
117 117  * Bootloader-Status: Updated!
118 118  
119 119  Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
120 -
121 -
122 -= Ressourcen =
123 -
124 -[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
125 -
126 -[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
127 -
128 -[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
129 -
130 -[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
131 -
132 -
133 -[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
134 -
135 -[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
136 -
137 -[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
138 -
139 -[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
140 -
141 -