Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 16.2
bearbeitet von Thorsten Seifert
am 2026/02/27 10:33
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 2.4
bearbeitet von Thorsten Seifert
am 2026/02/26 17:36
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,16 +1,13 @@
1 -{{error}}
2 -**Die Seite befindet sich noch im Aufbau!**
1 += Austausch der Secure Boot Zertifikate =
3 3  
4 -Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5 -{{/error}}
6 -
7 7  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
8 8  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
9 9  
10 10  Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
11 11  
12 -= Was bedeutet dies für mich? =
13 13  
9 +== Was bedeutet dies für mich? ==
10 +
14 14  Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
15 15  
16 16  Die bedeutet, dass bis Juni:
... ... @@ -20,30 +20,15 @@
20 20  * Der Windows Bootloader aktualisiert werden muss.
21 21  * Das neue Zertifikat im Bootloader aktiviert werden müssen.
22 22  
23 -Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
24 -Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
25 -
26 26  Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
27 27  
28 -= Technischer Ablauf =
29 29  
30 -== Aktuellen Secure Boot Status abfragen ==
23 +== Technischer Ablauf ==
31 31  
32 -Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell.
25 +=== VMware vSphere ===
33 33  
34 -Die Ausgabe auf einem Host (Windows Server 2022), bei dem die Zertifikate fehlen:
27 +==== Key Exchange Key (KEK) ====
35 35  
36 -[[image:SecureBootStatus_VMware_01.png||height="366" width="700"]]
37 -
38 -== VMware vSphere ==
39 -
40 -(% class="box infomessage" %)
41 -(((
42 -**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
43 -)))
44 -
45 -=== Key Exchange Key (KEK) ===
46 -
47 47  * Virtuelle Maschine herunterfahren
48 48  * Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
49 49  * Entfernen der zur VM gehörigen .vnram vom Datastore
... ... @@ -52,18 +52,14 @@
52 52  * Aktualisieren der VMware Tools
53 53  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
54 54  
55 -Ausgabe des Skripts nach Aktualisierung:
37 +==== Platform Key ====
56 56  
57 -[[image:SecureBootStatus_VMware_02.png||height="366" width="700"]]
58 -
59 -=== Platform Key (PK) ===
60 -
61 61  * Virtuelle Maschine Herunterfahren.
62 62  * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
63 63  * Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
64 64  * VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
65 -* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK → Enroll PK Using File
66 -** Laufwerk "CERT"
43 +* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
44 +** Select the PK file from disk
67 67  ** Review
68 68  ** Commit changes and exit
69 69  * Virtuelle Maschine herunterfahren.
... ... @@ -71,7 +71,7 @@
71 71  * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
72 72  * Virtuelle Maschine starten.
73 73  
74 -=== Kontrolle ===
52 +==== Kontrolle ====
75 75  
76 76  Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
77 77  
... ... @@ -80,68 +80,16 @@
80 80  * Key exchange keys:  Certificate OK!"
81 81  * Platform key:  Certificate OK!"
82 82  
83 -== Windows ==
84 84  
85 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
86 86  
63 +=== Windows ===
64 +
65 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
66 +
87 87  * UEFI CA2023 Update-Status: Not startet!
88 88  * Bootloader-Status: Updates failed!
89 89  
90 -Aktualisieren der Signaturen des Bootloaders:
70 +Aktualisieren der Signaturen des Bootloaders
91 91  
92 -* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
93 -** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
94 -** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
95 -* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
96 -* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
97 -
98 -{{code language="none"}}
99 -Flag: F33E0C8E
100 - Current Configuration: F33E0C8E001
101 - State: Disabled
102 - Pending Configuration: None
103 - Pending Action: None
104 - FwLink: https://aka.ms/getsecureboot
105 - Available Configurations:
106 - F33E0C8E002
107 - F33E0C8E001
108 -{{/code}}
109 -
110 -* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
111 -* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
112 -* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
113 -
114 -=== **Kontrolle** ===
115 -
116 -Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
117 -
118 -* Active authorized database: Certificate OK!"
119 -* Default authorized database:  Certificate OK!"
120 -* Key exchange keys:  Certificate OK!"
121 -* Platform key:  Certificate OK!"
122 -* UEFI CA2023 Update-Status: Updated!
123 -* Bootloader-Status: Updated!
124 -
125 -Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
126 -
127 -
128 -= Ressourcen =
129 -
130 -[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
131 -
132 -[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
133 -
134 -[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
135 -
136 -[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
137 -
138 -
139 -[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
140 -
141 -[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
142 -
143 -[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
144 -
145 -[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
146 -
147 -
72 +* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002"
73 +*
SecureBootStatus_VMware_01.png
Author
... ... @@ -1,1 +1,0 @@
1 -xwiki:XWiki.seifertt
Größe
... ... @@ -1,1 +1,0 @@
1 -34.3 KB
Inhalt
SecureBootStatus_VMware_02.png
Author
... ... @@ -1,1 +1,0 @@
1 -xwiki:XWiki.seifertt
Größe
... ... @@ -1,1 +1,0 @@
1 -24.7 KB
Inhalt