Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 4.3
bearbeitet von Thorsten Seifert
am 2026/02/26 18:02
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 16.2
bearbeitet von Thorsten Seifert
am 2026/02/27 10:33
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,3 +1,9 @@
1 +{{error}}
2 +**Die Seite befindet sich noch im Aufbau!**
3 +
4 +Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5 +{{/error}}
6 +
1 1  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
2 2  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
3 3  
... ... @@ -21,8 +21,21 @@
21 21  
22 22  = Technischer Ablauf =
23 23  
30 +== Aktuellen Secure Boot Status abfragen ==
31 +
32 +Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell.
33 +
34 +Die Ausgabe auf einem Host (Windows Server 2022), bei dem die Zertifikate fehlen:
35 +
36 +[[image:SecureBootStatus_VMware_01.png||height="366" width="700"]]
37 +
24 24  == VMware vSphere ==
25 25  
40 +(% class="box infomessage" %)
41 +(((
42 +**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
43 +)))
44 +
26 26  === Key Exchange Key (KEK) ===
27 27  
28 28  * Virtuelle Maschine herunterfahren
... ... @@ -33,14 +33,18 @@
33 33  * Aktualisieren der VMware Tools
34 34  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
35 35  
36 -=== Platform Key ===
55 +Ausgabe des Skripts nach Aktualisierung:
37 37  
57 +[[image:SecureBootStatus_VMware_02.png||height="366" width="700"]]
58 +
59 +=== Platform Key (PK) ===
60 +
38 38  * Virtuelle Maschine Herunterfahren.
39 39  * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
40 40  * Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
41 41  * VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
42 -* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
43 -** Select the PK file from disk
65 +* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK → Enroll PK Using File
66 +** Laufwerk "CERT"
44 44  ** Review
45 45  ** Commit changes and exit
46 46  * Virtuelle Maschine herunterfahren.
... ... @@ -59,7 +59,7 @@
59 59  
60 60  == Windows ==
61 61  
62 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
85 +Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
63 63  
64 64  * UEFI CA2023 Update-Status: Not startet!
65 65  * Bootloader-Status: Updates failed!
... ... @@ -100,3 +100,25 @@
100 100  * Bootloader-Status: Updated!
101 101  
102 102  Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
126 +
127 +
128 += Ressourcen =
129 +
130 +[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
131 +
132 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
133 +
134 +[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
135 +
136 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
137 +
138 +
139 +[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
140 +
141 +[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
142 +
143 +[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
144 +
145 +[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
146 +
147 +
SecureBootStatus_VMware_01.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +34.3 KB
Inhalt
SecureBootStatus_VMware_02.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +24.7 KB
Inhalt