Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 2.3
bearbeitet von Thorsten Seifert
am 2026/02/26 17:32
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 16.4
bearbeitet von Thorsten Seifert
am 2026/02/27 10:36
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,13 +1,16 @@
1 -= Austausch der Secure Boot Zertifikate =
1 +{{error}}
2 +**Die Seite befindet sich noch im Aufbau!**
2 2  
4 +Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5 +{{/error}}
6 +
3 3  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
4 4  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
5 5  
6 6  Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
7 7  
12 += Was bedeutet dies für mich? =
8 8  
9 -== Was bedeutet dies für mich? ==
10 -
11 11  Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
12 12  
13 13  Die bedeutet, dass bis Juni:
... ... @@ -17,15 +17,30 @@
17 17  * Der Windows Bootloader aktualisiert werden muss.
18 18  * Das neue Zertifikat im Bootloader aktiviert werden müssen.
19 19  
23 +Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
24 +Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
25 +
20 20  Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
21 21  
28 += Technischer Ablauf =
22 22  
23 -== Technischer Ablauf ==
30 +== Aktuellen Secure Boot Status abfragen ==
24 24  
25 -=== VMware vSphere ===
32 +Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell.
26 26  
27 -==== Key Exchange Key (KEK) ====
34 +Die Ausgabe auf einem Host (Windows Server 2022), bei dem die Zertifikate fehlen:
28 28  
36 +[[image:SecureBootStatus_VMware_01.png||height="366" width="700"]]
37 +
38 +== VMware vSphere ==
39 +
40 +(% class="box infomessage" %)
41 +(((
42 +**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
43 +)))
44 +
45 +=== Key Exchange Key (KEK) ===
46 +
29 29  * Virtuelle Maschine herunterfahren
30 30  * Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
31 31  * Entfernen der zur VM gehörigen .vnram vom Datastore
... ... @@ -34,22 +34,26 @@
34 34  * Aktualisieren der VMware Tools
35 35  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
36 36  
37 -==== Platform Key ====
55 +Ausgabe des Skripts nach Aktualisierung:
38 38  
57 +[[image:SecureBootStatus_VMware_02.png||height="366" width="700"]]
58 +
59 +=== Platform Key (PK) ===
60 +
39 39  * Virtuelle Maschine Herunterfahren.
40 40  * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
41 41  * Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
42 42  * VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
43 -* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
44 -** Select the PK file from disk
45 -** Review
46 -** Commit changes and exit
47 -* Virtuelle Maschine herunterfahren.
48 -* Die hinzugefügte VHD wieder aushängen.
65 +* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK → Enroll PK Using File
66 +** Laufwerk "CERT" auswählen
67 +** "WindowsOEMDevicesPK.der" auswählen
68 +** Commit Changes and exit
69 +** Mit ESC zurück bis zum "Boot Manager" → "Shut down the system"
70 +* Die hinzugefügte VHD wieder aushängen ().
49 49  * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
50 50  * Virtuelle Maschine starten.
51 51  
52 -==== Kontrolle ====
74 +=== Kontrolle ===
53 53  
54 54  Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
55 55  
... ... @@ -58,11 +58,68 @@
58 58  * Key exchange keys:  Certificate OK!"
59 59  * Platform key:  Certificate OK!"
60 60  
83 +== Windows ==
61 61  
85 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
62 62  
63 -=== Windows ===
87 +* UEFI CA2023 Update-Status: Not startet!
88 +* Bootloader-Status: Updates failed!
64 64  
65 -Das Kontroll-Script wird für UEFI CA2023 Update-Status
90 +Aktualisieren der Signaturen des Bootloaders:
66 66  
67 -* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002"
68 -*
92 +* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
93 +** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
94 +** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
95 +* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
96 +* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
97 +
98 +{{code language="none"}}
99 +Flag: F33E0C8E
100 + Current Configuration: F33E0C8E001
101 + State: Disabled
102 + Pending Configuration: None
103 + Pending Action: None
104 + FwLink: https://aka.ms/getsecureboot
105 + Available Configurations:
106 + F33E0C8E002
107 + F33E0C8E001
108 +{{/code}}
109 +
110 +* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
111 +* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
112 +* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
113 +
114 +=== **Kontrolle** ===
115 +
116 +Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
117 +
118 +* Active authorized database: Certificate OK!"
119 +* Default authorized database:  Certificate OK!"
120 +* Key exchange keys:  Certificate OK!"
121 +* Platform key:  Certificate OK!"
122 +* UEFI CA2023 Update-Status: Updated!
123 +* Bootloader-Status: Updated!
124 +
125 +Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
126 +
127 +
128 += Ressourcen =
129 +
130 +[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
131 +
132 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
133 +
134 +[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
135 +
136 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
137 +
138 +
139 +[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
140 +
141 +[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
142 +
143 +[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
144 +
145 +[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
146 +
147 +
SecureBootStatus_VMware_01.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +34.3 KB
Inhalt
SecureBootStatus_VMware_02.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +24.7 KB
Inhalt