Zum Inhalt springen

Änderungen von Dokument Secure Boot Zertifikate

Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 6.1
bearbeitet von Thorsten Seifert
am 2026/02/26 18:04
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 2.3
bearbeitet von Thorsten Seifert
am 2026/02/26 17:32
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -1,10 +1,13 @@
1 += Austausch der Secure Boot Zertifikate =
2 +
1 1  Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
2 2  Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
3 3  
4 4  Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
5 5  
6 -= Was bedeutet dies für mich? =
7 7  
9 +== Was bedeutet dies für mich? ==
10 +
8 8  Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
9 9  
10 10  Die bedeutet, dass bis Juni:
... ... @@ -14,18 +14,14 @@
14 14  * Der Windows Bootloader aktualisiert werden muss.
15 15  * Das neue Zertifikat im Bootloader aktiviert werden müssen.
16 16  
17 -Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
18 -Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
19 -
20 20  Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
21 21  
22 -= Technischer Ablauf =
23 23  
24 -== VMware vSphere ==
23 +== Technischer Ablauf ==
25 25  
26 -Diesen Teil übernimmt, in Abstimmung mit den Verantwortlichen der virtuellen Maschine, das Rechenzentrum!
25 +=== VMware vSphere ===
27 27  
28 -=== Key Exchange Key (KEK) ===
27 +==== Key Exchange Key (KEK) ====
29 29  
30 30  * Virtuelle Maschine herunterfahren
31 31  * Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
... ... @@ -35,7 +35,7 @@
35 35  * Aktualisieren der VMware Tools
36 36  * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
37 37  
38 -=== Platform Key ===
37 +==== Platform Key ====
39 39  
40 40  * Virtuelle Maschine Herunterfahren.
41 41  * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
... ... @@ -50,7 +50,7 @@
50 50  * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
51 51  * Virtuelle Maschine starten.
52 52  
53 -=== Kontrolle ===
52 +==== Kontrolle ====
54 54  
55 55  Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
56 56  
... ... @@ -59,46 +59,11 @@
59 59  * Key exchange keys:  Certificate OK!"
60 60  * Platform key:  Certificate OK!"
61 61  
62 -== Windows ==
63 63  
64 -Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
65 65  
66 -* UEFI CA2023 Update-Status: Not startet!
67 -* Bootloader-Status: Updates failed!
63 +=== Windows ===
68 68  
69 -Aktualisieren der Signaturen des Bootloaders:
65 +Das Kontroll-Script wirdr UEFI CA2023 Update-Status
70 70  
71 -* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
72 -** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
73 -** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
74 -* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
75 -* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
76 -
77 -{{code language="none"}}
78 -Flag: F33E0C8E
79 - Current Configuration: F33E0C8E001
80 - State: Disabled
81 - Pending Configuration: None
82 - Pending Action: None
83 - FwLink: https://aka.ms/getsecureboot
84 - Available Configurations:
85 - F33E0C8E002
86 - F33E0C8E001
87 -{{/code}}
88 -
89 -* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
90 -* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
91 -* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**
92 -
93 -=== **Kontrolle** ===
94 -
95 -Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
96 -
97 -* Active authorized database: Certificate OK!"
98 -* Default authorized database:  Certificate OK!"
99 -* Key exchange keys:  Certificate OK!"
100 -* Platform key:  Certificate OK!"
101 -* UEFI CA2023 Update-Status: Updated!
102 -* Bootloader-Status: Updated!
103 -
104 -Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
67 +* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002"
68 +*