Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 2.5
bearbeitet von Thorsten Seifert
am 2026/02/26 17:37
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 5.1
bearbeitet von Thorsten Seifert
am 2026/02/26 18:03
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,13 +3,10 @@
1 -= Austausch der Secure Boot Zertifikate =
2 -
3 3  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
4 4  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
5 5  
6 6  Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
7 7  
6 += Was bedeutet dies für mich? =
8 8  
9 -== Was bedeutet dies für mich? ==
10 -
11 11  Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
12 12  
13 13  Die bedeutet, dass bis Juni:
... ... @@ -17,15 +17,17 @@
17 17  * Der Windows Bootloader aktualisiert werden muss.
18 18  * Das neue Zertifikat im Bootloader aktiviert werden müssen.
19 19  
17 +Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
18 +Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
19 +
20 20  Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
21 21  
22 += Technischer Ablauf =
22 22  
23 -== Technischer Ablauf ==
24 +== VMware vSphere ==
24 24  
25 -=== VMware vSphere ===
26 +=== Key Exchange Key (KEK) ===
26 26  
27 -==== Key Exchange Key (KEK) ====
28 -
29 29  * Virtuelle Maschine herunterfahren
30 30  * Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
31 31  * Entfernen der zur VM gehörigen .vnram vom Datastore
... ... @@ -34,7 +34,7 @@
34 34  * Aktualisieren der VMware Tools
35 35  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
36 36  
37 -==== Platform Key ====
36 +=== Platform Key ===
38 38  
39 39  * Virtuelle Maschine Herunterfahren.
40 40  * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
... ... @@ -49,7 +49,7 @@
49 49  * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
50 50  * Virtuelle Maschine starten.
51 51  
52 -==== Kontrolle ====
51 +=== Kontrolle ===
53 53  
54 54  Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
55 55  
... ... @@ -58,18 +58,20 @@
58 58  * Key exchange keys:  Certificate OK!"
59 59  * Platform key:  Certificate OK!"
60 60  
60 +== Windows ==
61 61  
62 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
62 62  
63 -=== Windows ===
64 -
65 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
66 -
67 67  * UEFI CA2023 Update-Status: Not startet!
68 68  * Bootloader-Status: Updates failed!
69 69  
70 -Aktualisieren der Signaturen des Bootloaders
67 +Aktualisieren der Signaturen des Bootloaders:
71 71  
72 -* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002":
69 +* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
70 +** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
71 +** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
72 +* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
73 +* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
73 73  
74 74  {{code language="none"}}
75 75  Flag: F33E0C8E
... ... @@ -83,4 +83,19 @@
83 83   F33E0C8E001
84 84  {{/code}}
85 85  
86 -
87 +* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
88 +* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
89 +* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
90 +
91 +=== **Kontrolle** ===
92 +
93 +Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
94 +
95 +* Active authorized database: Certificate OK!"
96 +* Default authorized database:  Certificate OK!"
97 +* Key exchange keys:  Certificate OK!"
98 +* Platform key:  Certificate OK!"
99 +* UEFI CA2023 Update-Status: Updated!
100 +* Bootloader-Status: Updated!
101 +
102 +Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!