Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 4.2
bearbeitet von Thorsten Seifert
am 2026/02/26 18:01
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 19.1
bearbeitet von Thorsten Seifert
am 2026/02/27 10:39
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,9 +1,14 @@
1 +{{error}}
2 +**Die Seite befindet sich noch im Aufbau!**
3 +
4 +Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5 +{{/error}}
6 +
1 1  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
2 2  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
3 3  
4 4  Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
5 5  
6 -
7 7  = Was bedeutet dies für mich? =
8 8  
9 9  Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
... ... @@ -16,15 +16,27 @@
16 16  * Das neue Zertifikat im Bootloader aktiviert werden müssen.
17 17  
18 18  Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
24 +Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
19 19  
20 -
21 21  Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
22 22  
23 -
24 24  = Technischer Ablauf =
25 25  
30 +== Aktuellen Secure Boot Status abfragen ==
31 +
32 +Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell.
33 +
34 +Die Ausgabe auf einem Host (Windows Server 2022), bei dem die Zertifikate fehlen:
35 +
36 +[[image:SecureBootStatus_VMware_01.png||height="366" width="700"]]
37 +
26 26  == VMware vSphere ==
27 27  
40 +(% class="box infomessage" %)
41 +(((
42 +**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
43 +)))
44 +
28 28  === Key Exchange Key (KEK) ===
29 29  
30 30  * Virtuelle Maschine herunterfahren
... ... @@ -35,38 +35,37 @@
35 35  * Aktualisieren der VMware Tools
36 36  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
37 37  
38 -=== Platform Key ===
55 +Ausgabe des Skripts nach Aktualisierung des KEK:
39 39  
57 +[[image:SecureBootStatus_VMware_02.png||height="366" width="700"]]
58 +
59 +=== Platform Key (PK) ===
60 +
40 40  * Virtuelle Maschine Herunterfahren.
41 41  * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
42 42  * Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
43 43  * VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
44 -* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
45 -** Select the PK file from disk
46 -** Review
47 -** Commit changes and exit
48 -* Virtuelle Maschine herunterfahren.
49 -* Die hinzugefügte VHD wieder aushängen.
65 +* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK → Enroll PK Using File
66 +** Laufwerk "CERT" auswählen
67 +** "WindowsOEMDevicesPK.der" auswählen
68 +** Commit Changes and exit
69 +** Mit ESC zurück bis zum "Boot Manager" → "Shut down the system"
70 +* Die hinzugefügte VHD wieder aushängen (Nur "Remove device", **nicht "Remove device an data"**).
50 50  * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
51 51  * Virtuelle Maschine starten.
52 52  
53 -=== Kontrolle ===
74 +Ausgabe des Skripts nach Aktualisierung des PK:
54 54  
55 -Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
76 +[[image:SecureBootStatus_VMware_03.png||height="366" width="700"]]
56 56  
57 -* Active authorized database: Certificate OK!"
58 -* Default authorized database:  Certificate OK!"
59 -* Key exchange keys:  Certificate OK!"
60 -* Platform key:  Certificate OK!"
61 -
62 62  == Windows ==
63 63  
64 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
80 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
65 65  
66 66  * UEFI CA2023 Update-Status: Not startet!
67 67  * Bootloader-Status: Updates failed!
68 68  
69 -Aktualisieren der Signaturen des Bootloaders
85 +Aktualisieren der Signaturen des Bootloaders:
70 70  
71 71  * Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
72 72  ** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
... ... @@ -102,3 +102,25 @@
102 102  * Bootloader-Status: Updated!
103 103  
104 104  Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
121 +
122 +
123 += Ressourcen =
124 +
125 +[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
126 +
127 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
128 +
129 +[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
130 +
131 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
132 +
133 +
134 +[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
135 +
136 +[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
137 +
138 +[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
139 +
140 +[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
141 +
142 +
SecureBootStatus_VMware_01.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +34.3 KB
Inhalt
SecureBootStatus_VMware_02.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +24.7 KB
Inhalt
SecureBootStatus_VMware_03.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +53.5 KB
Inhalt