Änderungen von Dokument Secure Boot Zertifikate
Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 2.6
bearbeitet von Thorsten Seifert
am 2026/02/26 17:41
am 2026/02/26 17:41
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 1.1
bearbeitet von Thorsten Seifert
am 2026/02/26 16:58
am 2026/02/26 16:58
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -1,82 +1,4 @@ 1 -Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab. 2 -Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein. 1 += Austausch der Secure Boot Zertifikate = 3 3 4 -Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch! 5 5 6 - 7 -= Was bedeutet dies für mich? = 8 - 9 -Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis. 10 - 11 -Die bedeutet, dass bis Juni: 12 - 13 -* Das virtuelle UEFI getauscht werden muss. 14 -* Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen. 15 -* Der Windows Bootloader aktualisiert werden muss. 16 -* Das neue Zertifikat im Bootloader aktiviert werden müssen. 17 - 18 -Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert. 19 - 20 - 21 -= Technischer Ablauf = 22 - 23 -== VMware vSphere == 24 - 25 -=== Key Exchange Key (KEK) === 26 - 27 -* Virtuelle Maschine herunterfahren 28 -* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later) 29 -* Entfernen der zur VM gehörigen .vnram vom Datastore 30 -* Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate. 31 -* Starten der VM 32 -* Aktualisieren der VMware Tools 33 -* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware) 34 - 35 -=== Platform Key === 36 - 37 -* Virtuelle Maschine Herunterfahren. 38 -* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE" 39 -* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat. 40 -* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup) 41 -* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK 42 -** Select the PK file from disk 43 -** Review 44 -** Commit changes and exit 45 -* Virtuelle Maschine herunterfahren. 46 -* Die hinzugefügte VHD wieder aushängen. 47 -* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen. 48 -* Virtuelle Maschine starten. 49 - 50 -=== Kontrolle === 51 - 52 -Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben: 53 - 54 -* Active authorized database: Certificate OK!" 55 -* Default authorized database: Certificate OK!" 56 -* Key exchange keys: Certificate OK!" 57 -* Platform key: Certificate OK!" 58 - 59 -== Windows == 60 - 61 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben. 62 - 63 -* UEFI CA2023 Update-Status: Not startet! 64 -* Bootloader-Status: Updates failed! 65 - 66 -Aktualisieren der Signaturen des Bootloaders 67 - 68 -* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002": 69 - 70 -{{code language="none"}} 71 -Flag: F33E0C8E 72 - Current Configuration: F33E0C8E001 73 - State: Disabled 74 - Pending Configuration: None 75 - Pending Action: None 76 - FwLink: https://aka.ms/getsecureboot 77 - Available Configurations: 78 - F33E0C8E002 79 - F33E0C8E001 80 -{{/code}} 81 - 82 - 4 +Die von Microsoft im Jahr 2011 erstellten Zertifikate für Secure Boot laufen im Juni diesen Jahres ab!