Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 3.7
bearbeitet von Thorsten Seifert
am 2026/02/26 17:57
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 10.1
bearbeitet von Thorsten Seifert
am 2026/02/27 10:11
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,9 +1,14 @@
1 +{{error}}
2 +**Die Seite befindet sich noch im Aufbau!**
3 +
4 +Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5 +{{/error}}
6 +
1 1  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
2 2  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
3 3  
4 4  Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
5 5  
6 -
7 7  = Was bedeutet dies für mich? =
8 8  
9 9  Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
... ... @@ -15,13 +15,20 @@
15 15  * Der Windows Bootloader aktualisiert werden muss.
16 16  * Das neue Zertifikat im Bootloader aktiviert werden müssen.
17 17  
23 +Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
24 +Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
25 +
18 18  Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
19 19  
20 -
21 21  = Technischer Ablauf =
22 22  
23 23  == VMware vSphere ==
24 24  
32 +(% class="box infomessage" %)
33 +(((
34 +**Diesen Teil übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
35 +)))
36 +
25 25  === Key Exchange Key (KEK) ===
26 26  
27 27  * Virtuelle Maschine herunterfahren
... ... @@ -58,15 +58,16 @@
58 58  
59 59  == Windows ==
60 60  
61 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
73 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
62 62  
63 63  * UEFI CA2023 Update-Status: Not startet!
64 64  * Bootloader-Status: Updates failed!
65 65  
66 -Aktualisieren der Signaturen des Bootloaders
78 +Aktualisieren der Signaturen des Bootloaders:
67 67  
68 68  * Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
69 -* Erfolgt keine Ausgabe, fehlt eines der oben genannten
81 +** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
82 +** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
70 70  * Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
71 71  * Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
72 72  
... ... @@ -82,7 +82,7 @@
82 82   F33E0C8E001
83 83  {{/code}}
84 84  
85 -* Hinzufügen der Signatur zum Secure Boot: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
98 +* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
86 86  * Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
87 87  * Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
88 88  
... ... @@ -98,3 +98,23 @@
98 98  * Bootloader-Status: Updated!
99 99  
100 100  Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
114 +
115 +
116 += Ressourcen =
117 +
118 +[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
119 +
120 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
121 +
122 +[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
123 +
124 +
125 +[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
126 +
127 +[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
128 +
129 +[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
130 +
131 +[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
132 +
133 +