Änderungen von Dokument Secure Boot Zertifikate
Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 2.5
bearbeitet von Thorsten Seifert
am 2026/02/26 17:37
am 2026/02/26 17:37
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 1.1
bearbeitet von Thorsten Seifert
am 2026/02/26 16:58
am 2026/02/26 16:58
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -1,86 +1,4 @@ 1 1 = Austausch der Secure Boot Zertifikate = 2 2 3 -Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab. 4 -Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein. 5 5 6 -Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch! 7 - 8 - 9 -== Was bedeutet dies für mich? == 10 - 11 -Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis. 12 - 13 -Die bedeutet, dass bis Juni: 14 - 15 -* Das virtuelle UEFI getauscht werden muss. 16 -* Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen. 17 -* Der Windows Bootloader aktualisiert werden muss. 18 -* Das neue Zertifikat im Bootloader aktiviert werden müssen. 19 - 20 -Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert. 21 - 22 - 23 -== Technischer Ablauf == 24 - 25 -=== VMware vSphere === 26 - 27 -==== Key Exchange Key (KEK) ==== 28 - 29 -* Virtuelle Maschine herunterfahren 30 -* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later) 31 -* Entfernen der zur VM gehörigen .vnram vom Datastore 32 -* Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate. 33 -* Starten der VM 34 -* Aktualisieren der VMware Tools 35 -* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware) 36 - 37 -==== Platform Key ==== 38 - 39 -* Virtuelle Maschine Herunterfahren. 40 -* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE" 41 -* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat. 42 -* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup) 43 -* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK 44 -** Select the PK file from disk 45 -** Review 46 -** Commit changes and exit 47 -* Virtuelle Maschine herunterfahren. 48 -* Die hinzugefügte VHD wieder aushängen. 49 -* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen. 50 -* Virtuelle Maschine starten. 51 - 52 -==== Kontrolle ==== 53 - 54 -Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben: 55 - 56 -* Active authorized database: Certificate OK!" 57 -* Default authorized database: Certificate OK!" 58 -* Key exchange keys: Certificate OK!" 59 -* Platform key: Certificate OK!" 60 - 61 - 62 - 63 -=== Windows === 64 - 65 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben. 66 - 67 -* UEFI CA2023 Update-Status: Not startet! 68 -* Bootloader-Status: Updates failed! 69 - 70 -Aktualisieren der Signaturen des Bootloaders 71 - 72 -* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002": 73 - 74 -{{code language="none"}} 75 -Flag: F33E0C8E 76 - Current Configuration: F33E0C8E001 77 - State: Disabled 78 - Pending Configuration: None 79 - Pending Action: None 80 - FwLink: https://aka.ms/getsecureboot 81 - Available Configurations: 82 - F33E0C8E002 83 - F33E0C8E001 84 -{{/code}} 85 - 86 - 4 +Die von Microsoft im Jahr 2011 erstellten Zertifikate für Secure Boot laufen im Juni diesen Jahres ab!