Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 19.1
bearbeitet von Thorsten Seifert
am 2026/02/27 10:39
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 6.1
bearbeitet von Thorsten Seifert
am 2026/02/26 18:04
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,9 +7,3 @@
1 -{{error}}
2 -**Die Seite befindet sich noch im Aufbau!**
3 -
4 -Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5 -{{/error}}
6 -
7 7  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
8 8  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
9 9  
... ... @@ -27,20 +27,9 @@
27 27  
28 28  = Technischer Ablauf =
29 29  
30 -== Aktuellen Secure Boot Status abfragen ==
31 -
32 -Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell.
33 -
34 -Die Ausgabe auf einem Host (Windows Server 2022), bei dem die Zertifikate fehlen:
35 -
36 -[[image:SecureBootStatus_VMware_01.png||height="366" width="700"]]
37 -
38 38  == VMware vSphere ==
39 39  
40 -(% class="box infomessage" %)
41 -(((
42 -**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
43 -)))
26 +Diesen Teil übernimmt, in Abstimmung mit den Verantwortlichen der virtuellen Maschine, das Rechenzentrum!
44 44  
45 45  === Key Exchange Key (KEK) ===
46 46  
... ... @@ -52,29 +52,30 @@
52 52  * Aktualisieren der VMware Tools
53 53  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
54 54  
55 -Ausgabe des Skripts nach Aktualisierung des KEK:
38 +=== Platform Key ===
56 56  
57 -[[image:SecureBootStatus_VMware_02.png||height="366" width="700"]]
58 -
59 -=== Platform Key (PK) ===
60 -
61 61  * Virtuelle Maschine Herunterfahren.
62 62  * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
63 63  * Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
64 64  * VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
65 -* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK → Enroll PK Using File
66 -** Laufwerk "CERT" auswählen
67 -** "WindowsOEMDevicesPK.der" auswählen
68 -** Commit Changes and exit
69 -** Mit ESC zurück bis zum "Boot Manager" → "Shut down the system"
70 -* Die hinzugefügte VHD wieder aushängen (Nur "Remove device", **nicht "Remove device an data"**).
44 +* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
45 +** Select the PK file from disk
46 +** Review
47 +** Commit changes and exit
48 +* Virtuelle Maschine herunterfahren.
49 +* Die hinzugefügte VHD wieder aushängen.
71 71  * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
72 72  * Virtuelle Maschine starten.
73 73  
74 -Ausgabe des Skripts nach Aktualisierung des PK:
53 +=== Kontrolle ===
75 75  
76 -[[image:SecureBootStatus_VMware_03.png||height="366" width="700"]]
55 +Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
77 77  
57 +* Active authorized database: Certificate OK!"
58 +* Default authorized database:  Certificate OK!"
59 +* Key exchange keys:  Certificate OK!"
60 +* Platform key:  Certificate OK!"
61 +
78 78  == Windows ==
79 79  
80 80  Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
... ... @@ -118,25 +118,3 @@
118 118  * Bootloader-Status: Updated!
119 119  
120 120  Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
121 -
122 -
123 -= Ressourcen =
124 -
125 -[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
126 -
127 -[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
128 -
129 -[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
130 -
131 -[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
132 -
133 -
134 -[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
135 -
136 -[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
137 -
138 -[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
139 -
140 -[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
141 -
142 -
SecureBootStatus_VMware_01.png
Author
... ... @@ -1,1 +1,0 @@
1 -xwiki:XWiki.seifertt
Größe
... ... @@ -1,1 +1,0 @@
1 -34.3 KB
Inhalt
SecureBootStatus_VMware_02.png
Author
... ... @@ -1,1 +1,0 @@
1 -xwiki:XWiki.seifertt
Größe
... ... @@ -1,1 +1,0 @@
1 -24.7 KB
Inhalt
SecureBootStatus_VMware_03.png
Author
... ... @@ -1,1 +1,0 @@
1 -xwiki:XWiki.seifertt
Größe
... ... @@ -1,1 +1,0 @@
1 -53.5 KB
Inhalt