Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 3.1
bearbeitet von Thorsten Seifert
am 2026/02/26 17:49
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 2.5
bearbeitet von Thorsten Seifert
am 2026/02/26 17:37
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,3 +1,5 @@
1 += Austausch der Secure Boot Zertifikate =
2 +
1 1  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
2 2  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
3 3  
... ... @@ -4,7 +4,7 @@
4 4  Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
5 5  
6 6  
7 -= Was bedeutet dies für mich? =
9 +== Was bedeutet dies für mich? ==
8 8  
9 9  Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
10 10  
... ... @@ -18,11 +18,11 @@
18 18  Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
19 19  
20 20  
21 -= Technischer Ablauf =
23 +== Technischer Ablauf ==
22 22  
23 -== VMware vSphere ==
25 +=== VMware vSphere ===
24 24  
25 -=== Key Exchange Key (KEK) ===
27 +==== Key Exchange Key (KEK) ====
26 26  
27 27  * Virtuelle Maschine herunterfahren
28 28  * Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
... ... @@ -32,7 +32,7 @@
32 32  * Aktualisieren der VMware Tools
33 33  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
34 34  
35 -=== Platform Key ===
37 +==== Platform Key ====
36 36  
37 37  * Virtuelle Maschine Herunterfahren.
38 38  * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
... ... @@ -47,7 +47,7 @@
47 47  * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
48 48  * Virtuelle Maschine starten.
49 49  
50 -=== Kontrolle ===
52 +==== Kontrolle ====
51 51  
52 52  Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
53 53  
... ... @@ -56,8 +56,10 @@
56 56  * Key exchange keys:  Certificate OK!"
57 57  * Platform key:  Certificate OK!"
58 58  
59 -== Windows ==
60 60  
62 +
63 +=== Windows ===
64 +
61 61  Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
62 62  
63 63  * UEFI CA2023 Update-Status: Not startet!
... ... @@ -65,7 +65,7 @@
65 65  
66 66  Aktualisieren der Signaturen des Bootloaders
67 67  
68 -* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
72 +* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002":
69 69  
70 70  {{code language="none"}}
71 71  Flag: F33E0C8E
... ... @@ -79,19 +79,4 @@
79 79   F33E0C8E001
80 80  {{/code}}
81 81  
82 -* Hinzufügen der Signatur zum Secure Boot: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
83 -* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
84 -* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
85 -
86 -=== **Kontrolle** ===
87 -
88 -Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
89 -
90 -* Active authorized database: Certificate OK!"
91 -* Default authorized database:  Certificate OK!"
92 -* Key exchange keys:  Certificate OK!"
93 -* Platform key:  Certificate OK!"
94 -* UEFI CA2023 Update-Status: Updated!
95 -* Bootloader-Status: Updated!
96 -
97 -Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
86 +