Änderungen von Dokument Secure Boot Zertifikate
Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 4.2
bearbeitet von Thorsten Seifert
am 2026/02/26 18:01
am 2026/02/26 18:01
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 1.2
bearbeitet von Thorsten Seifert
am 2026/02/26 16:59
am 2026/02/26 16:59
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -1,104 +1,6 @@ 1 -Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab. 2 -Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein. 1 += Austausch der Secure Boot Zertifikate = 3 3 4 -Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch! 3 +Die von Microsoft im Jahr 2011 erstellten Zertifikate für Secure Boot laufen im Juni diesen Jahres ab. 4 +Auf Client Systemen sollten die neuen Zertifikate bereits über Windows Update installiert sein. 5 5 6 - 7 -= Was bedeutet dies für mich? = 8 - 9 -Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis. 10 - 11 -Die bedeutet, dass bis Juni: 12 - 13 -* Das virtuelle UEFI getauscht werden muss. 14 -* Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen. 15 -* Der Windows Bootloader aktualisiert werden muss. 16 -* Das neue Zertifikat im Bootloader aktiviert werden müssen. 17 - 18 -Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst. 19 - 20 - 21 -Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert. 22 - 23 - 24 -= Technischer Ablauf = 25 - 26 -== VMware vSphere == 27 - 28 -=== Key Exchange Key (KEK) === 29 - 30 -* Virtuelle Maschine herunterfahren 31 -* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later) 32 -* Entfernen der zur VM gehörigen .vnram vom Datastore 33 -* Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate. 34 -* Starten der VM 35 -* Aktualisieren der VMware Tools 36 -* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware) 37 - 38 -=== Platform Key === 39 - 40 -* Virtuelle Maschine Herunterfahren. 41 -* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE" 42 -* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat. 43 -* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup) 44 -* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK 45 -** Select the PK file from disk 46 -** Review 47 -** Commit changes and exit 48 -* Virtuelle Maschine herunterfahren. 49 -* Die hinzugefügte VHD wieder aushängen. 50 -* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen. 51 -* Virtuelle Maschine starten. 52 - 53 -=== Kontrolle === 54 - 55 -Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben: 56 - 57 -* Active authorized database: Certificate OK!" 58 -* Default authorized database: Certificate OK!" 59 -* Key exchange keys: Certificate OK!" 60 -* Platform key: Certificate OK!" 61 - 62 -== Windows == 63 - 64 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben. 65 - 66 -* UEFI CA2023 Update-Status: Not startet! 67 -* Bootloader-Status: Updates failed! 68 - 69 -Aktualisieren der Signaturen des Bootloaders 70 - 71 -* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}} 72 -** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates! 73 -** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben 74 -* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}} 75 -* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled" 76 - 77 -{{code language="none"}} 78 -Flag: F33E0C8E 79 - Current Configuration: F33E0C8E001 80 - State: Disabled 81 - Pending Configuration: None 82 - Pending Action: None 83 - FwLink: https://aka.ms/getsecureboot 84 - Available Configurations: 85 - F33E0C8E002 86 - F33E0C8E001 87 -{{/code}} 88 - 89 -* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}} 90 -* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}} 91 -* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!** 92 - 93 -=== **Kontrolle** === 94 - 95 -Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben: 96 - 97 -* Active authorized database: Certificate OK!" 98 -* Default authorized database: Certificate OK!" 99 -* Key exchange keys: Certificate OK!" 100 -* Platform key: Certificate OK!" 101 -* UEFI CA2023 Update-Status: Updated! 102 -* Bootloader-Status: Updated! 103 - 104 -Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden! 6 +Auf Server-Sys