Änderungen von Dokument Secure Boot Zertifikate
Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 2.5
bearbeitet von Thorsten Seifert
am 2026/02/26 17:37
am 2026/02/26 17:37
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 14.1
bearbeitet von Thorsten Seifert
am 2026/02/27 10:25
am 2026/02/27 10:25
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
-
Anhänge (0 geändert, 1 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -1,13 +1,16 @@ 1 -= Austausch der Secure Boot Zertifikate = 1 +{{error}} 2 +**Die Seite befindet sich noch im Aufbau!** 2 2 4 +Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr. 5 +{{/error}} 6 + 3 3 Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab. 4 4 Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein. 5 5 6 6 Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch! 7 7 12 += Was bedeutet dies für mich? = 8 8 9 -== Was bedeutet dies für mich? == 10 - 11 11 Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis. 12 12 13 13 Die bedeutet, dass bis Juni: ... ... @@ -17,15 +17,30 @@ 17 17 * Der Windows Bootloader aktualisiert werden muss. 18 18 * Das neue Zertifikat im Bootloader aktiviert werden müssen. 19 19 23 +Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst. 24 +Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden! 25 + 20 20 Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert. 21 21 28 += Technischer Ablauf = 22 22 23 -== TechnischerAblauf ==30 +== Aktuellen Secure Boot Status abfragen == 24 24 25 - ===VMwarevSphere===32 +Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell. 26 26 27 - ====KeyExchangeKey(KEK)====34 +Die Ausgabe auf einem Host (Windows Server 2022), bei dem die Zertifikate fehlen: 28 28 36 +[[image:SecureBootStatus_VMware_01.png||height="366" width="700"]] 37 + 38 +== VMware vSphere == 39 + 40 +(% class="box infomessage" %) 41 +((( 42 +**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!** 43 +))) 44 + 45 +=== Key Exchange Key (KEK) === 46 + 29 29 * Virtuelle Maschine herunterfahren 30 30 * Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later) 31 31 * Entfernen der zur VM gehörigen .vnram vom Datastore ... ... @@ -34,7 +34,7 @@ 34 34 * Aktualisieren der VMware Tools 35 35 * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware) 36 36 37 -=== =Platform Key ====55 +=== Platform Key (PK) === 38 38 39 39 * Virtuelle Maschine Herunterfahren. 40 40 * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE" ... ... @@ -49,7 +49,7 @@ 49 49 * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen. 50 50 * Virtuelle Maschine starten. 51 51 52 -=== =Kontrolle ====70 +=== Kontrolle === 53 53 54 54 Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben: 55 55 ... ... @@ -58,18 +58,20 @@ 58 58 * Key exchange keys: Certificate OK!" 59 59 * Platform key: Certificate OK!" 60 60 79 +== Windows == 61 61 81 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben: 62 62 63 -=== Windows === 64 - 65 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben. 66 - 67 67 * UEFI CA2023 Update-Status: Not startet! 68 68 * Bootloader-Status: Updates failed! 69 69 70 -Aktualisieren der Signaturen des Bootloaders 86 +Aktualisieren der Signaturen des Bootloaders: 71 71 72 -* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002": 88 +* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}} 89 +** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates! 90 +** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben 91 +* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}} 92 +* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled" 73 73 74 74 {{code language="none"}} 75 75 Flag: F33E0C8E ... ... @@ -83,4 +83,41 @@ 83 83 F33E0C8E001 84 84 {{/code}} 85 85 106 +* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}} 107 +* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}} 108 +* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!** 109 + 110 +=== **Kontrolle** === 111 + 112 +Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben: 113 + 114 +* Active authorized database: Certificate OK!" 115 +* Default authorized database: Certificate OK!" 116 +* Key exchange keys: Certificate OK!" 117 +* Platform key: Certificate OK!" 118 +* UEFI CA2023 Update-Status: Updated! 119 +* Bootloader-Status: Updated! 120 + 121 +Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden! 122 + 123 + 124 += Ressourcen = 125 + 126 +[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]] 127 + 128 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]] 129 + 130 +[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]] 131 + 132 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]] 133 + 134 + 135 +[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]] 136 + 137 +[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]] 138 + 139 +[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]] 140 + 141 +[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]] 142 + 86 86
- SecureBootStatus_VMware_01.png
-
- Author
-
... ... @@ -1,0 +1,1 @@ 1 +xwiki:XWiki.seifertt - Größe
-
... ... @@ -1,0 +1,1 @@ 1 +34.3 KB - Inhalt