Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 24.2
bearbeitet von Thorsten Seifert
am 2026/02/27 10:53
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 16.2
bearbeitet von Thorsten Seifert
am 2026/02/27 10:33
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -52,7 +52,7 @@
52 52  * Aktualisieren der VMware Tools
53 53  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
54 54  
55 -Ausgabe des Skripts nach Aktualisierung des KEK:
55 +Ausgabe des Skripts nach Aktualisierung:
56 56  
57 57  [[image:SecureBootStatus_VMware_02.png||height="366" width="700"]]
58 58  
... ... @@ -63,42 +63,51 @@
63 63  * Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
64 64  * VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
65 65  * Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK → Enroll PK Using File
66 -** Laufwerk "CERT" auswählen
67 -** "WindowsOEMDevicesPK.der" auswählen
68 -** Commit Changes and exit
69 -** Mit ESC zurück bis zum "Boot Manager" → "Shut down the system"
70 -* Die hinzugefügte VHD wieder aushängen (Nur "Remove device", **nicht "Remove device an data"**).
66 +** Laufwerk "CERT"
67 +** Review
68 +** Commit changes and exit
69 +* Virtuelle Maschine herunterfahren.
70 +* Die hinzugefügte VHD wieder aushängen.
71 71  * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
72 72  * Virtuelle Maschine starten.
73 73  
74 -Ausgabe des Skripts nach Aktualisierung des PK:
74 +=== Kontrolle ===
75 75  
76 -[[image:SecureBootStatus_VMware_03.png||height="366" width="700"]]
76 +Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
77 77  
78 +* Active authorized database: Certificate OK!"
79 +* Default authorized database:  Certificate OK!"
80 +* Key exchange keys:  Certificate OK!"
81 +* Platform key:  Certificate OK!"
82 +
78 78  == Windows ==
79 79  
80 -{{info}}
81 -**Die folgenden Schritte zum aktualisieren der Signaturen des Bootloaders können erst erfolgreich durchgeführt werden, wenn der Key Exchange Key und der Platform Key aktualisiert wurden!**
82 -{{/info}}
85 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
83 83  
87 +* UEFI CA2023 Update-Status: Not startet!
88 +* Bootloader-Status: Updates failed!
89 +
84 84  Aktualisieren der Signaturen des Bootloaders:
85 85  
86 86  * Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
87 87  ** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
88 88  ** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
89 -
90 -[[image:WindowsBootloaderUpdatePossible.png||height="366" width="700"]]
91 -
92 92  * Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
93 -* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled". Die neue Signatur muss zur Verfügung stehen, unter "Available Configurations" muss "F33E0C8E002" aufgelistet sein.
96 +* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
94 94  
95 -[[image:WindowsBootloaderUpdateOldSignature.png||height="366" width="700"]]
98 +{{code language="none"}}
99 +Flag: F33E0C8E
100 + Current Configuration: F33E0C8E001
101 + State: Disabled
102 + Pending Configuration: None
103 + Pending Action: None
104 + FwLink: https://aka.ms/getsecureboot
105 + Available Configurations:
106 + F33E0C8E002
107 + F33E0C8E001
108 +{{/code}}
96 96  
97 -* Aktivieren der neuen Signatur: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
98 -* Die Ausgabe sollte zeigen, dass die Current Configuration: F33E0C8E002
99 -
100 -[[image:WindowsBootloaderUpdateUpdateApplied.png||height="366" width="700"]]
101 -
110 +* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
102 102  * Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
103 103  * Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
104 104  
SecureBootStatus_VMware_03.png
Author
... ... @@ -1,1 +1,0 @@
1 -xwiki:XWiki.seifertt
Größe
... ... @@ -1,1 +1,0 @@
1 -53.5 KB
Inhalt
WindowsBootloaderUpdateOldSignature.png
Author
... ... @@ -1,1 +1,0 @@
1 -xwiki:XWiki.seifertt
Größe
... ... @@ -1,1 +1,0 @@
1 -74.4 KB
Inhalt
WindowsBootloaderUpdatePossible.png
Author
... ... @@ -1,1 +1,0 @@
1 -xwiki:XWiki.seifertt
Größe
... ... @@ -1,1 +1,0 @@
1 -51.1 KB
Inhalt
WindowsBootloaderUpdateUpdateApplied.png
Author
... ... @@ -1,1 +1,0 @@
1 -xwiki:XWiki.seifertt
Größe
... ... @@ -1,1 +1,0 @@
1 -104.6 KB
Inhalt