Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 4.3
bearbeitet von Thorsten Seifert
am 2026/02/26 18:02
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 23.2
bearbeitet von Thorsten Seifert
am 2026/02/27 10:49
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,3 +1,9 @@
1 +{{error}}
2 +**Die Seite befindet sich noch im Aufbau!**
3 +
4 +Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
5 +{{/error}}
6 +
1 1  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
2 2  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
3 3  
... ... @@ -21,8 +21,21 @@
21 21  
22 22  = Technischer Ablauf =
23 23  
30 +== Aktuellen Secure Boot Status abfragen ==
31 +
32 +Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell.
33 +
34 +Die Ausgabe auf einem Host (Windows Server 2022), bei dem die Zertifikate fehlen:
35 +
36 +[[image:SecureBootStatus_VMware_01.png||height="366" width="700"]]
37 +
24 24  == VMware vSphere ==
25 25  
40 +(% class="box infomessage" %)
41 +(((
42 +**Den Tausch des KEK und PK übernimmt, **in Abstimmung mit den Verantwortlichen der virtuellen Maschine,** das Rechenzentrum!**
43 +)))
44 +
26 26  === Key Exchange Key (KEK) ===
27 27  
28 28  * Virtuelle Maschine herunterfahren
... ... @@ -33,56 +33,47 @@
33 33  * Aktualisieren der VMware Tools
34 34  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
35 35  
36 -=== Platform Key ===
55 +Ausgabe des Skripts nach Aktualisierung des KEK:
37 37  
57 +[[image:SecureBootStatus_VMware_02.png||height="366" width="700"]]
58 +
59 +=== Platform Key (PK) ===
60 +
38 38  * Virtuelle Maschine Herunterfahren.
39 39  * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
40 40  * Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
41 41  * VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
42 -* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
43 -** Select the PK file from disk
44 -** Review
45 -** Commit changes and exit
46 -* Virtuelle Maschine herunterfahren.
47 -* Die hinzugefügte VHD wieder aushängen.
65 +* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK → Enroll PK Using File
66 +** Laufwerk "CERT" auswählen
67 +** "WindowsOEMDevicesPK.der" auswählen
68 +** Commit Changes and exit
69 +** Mit ESC zurück bis zum "Boot Manager" → "Shut down the system"
70 +* Die hinzugefügte VHD wieder aushängen (Nur "Remove device", **nicht "Remove device an data"**).
48 48  * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
49 49  * Virtuelle Maschine starten.
50 50  
51 -=== Kontrolle ===
74 +Ausgabe des Skripts nach Aktualisierung des PK:
52 52  
53 -Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
76 +[[image:SecureBootStatus_VMware_03.png||height="366" width="700"]]
54 54  
55 -* Active authorized database: Certificate OK!"
56 -* Default authorized database:  Certificate OK!"
57 -* Key exchange keys:  Certificate OK!"
58 -* Platform key:  Certificate OK!"
59 -
60 60  == Windows ==
61 61  
62 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
80 +{{info}}
81 +**Die folgenden Schritte zum aktualisieren der Signaturen des Bootloaders können erst erfolgreich durchgeführt werden, wenn der Key Exchange Key und der Platform Key aktualisiert wurden!**
82 +{{/info}}
63 63  
64 -* UEFI CA2023 Update-Status: Not startet!
65 -* Bootloader-Status: Updates failed!
66 -
67 67  Aktualisieren der Signaturen des Bootloaders:
68 68  
69 69  * Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
70 70  ** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
71 71  ** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
89 +
90 +[[image:WindowsBootloaderUpdatePossible.png||height="366" width="700"]]
91 +
72 72  * Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
73 -* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
93 +* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled". Die neue Signatur muss zur Verfügung stehen, unter "Available Configurations" muss "F33E0C8E002" aufgelistet sein.
74 74  
75 -{{code language="none"}}
76 -Flag: F33E0C8E
77 - Current Configuration: F33E0C8E001
78 - State: Disabled
79 - Pending Configuration: None
80 - Pending Action: None
81 - FwLink: https://aka.ms/getsecureboot
82 - Available Configurations:
83 - F33E0C8E002
84 - F33E0C8E001
85 -{{/code}}
95 +[[image:WindowsBootloaderUpdateOldSignature.png||height="366" width="700"]]
86 86  
87 87  * Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
88 88  * Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
... ... @@ -100,3 +100,25 @@
100 100  * Bootloader-Status: Updated!
101 101  
102 102  Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
113 +
114 +
115 += Ressourcen =
116 +
117 +[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
118 +
119 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
120 +
121 +[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
122 +
123 +[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
124 +
125 +
126 +[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
127 +
128 +[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
129 +
130 +[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
131 +
132 +[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
133 +
134 +
SecureBootStatus_VMware_01.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +34.3 KB
Inhalt
SecureBootStatus_VMware_02.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +24.7 KB
Inhalt
SecureBootStatus_VMware_03.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +53.5 KB
Inhalt
WindowsBootloaderUpdateOldSignature.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +74.4 KB
Inhalt
WindowsBootloaderUpdatePossible.png
Author
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.seifertt
Größe
... ... @@ -1,0 +1,1 @@
1 +51.1 KB
Inhalt