Änderungen von Dokument Secure Boot Zertifikate
Zuletzt geändert von Thorsten Seifert am 2026/02/27 11:42
Von Version 9.1
bearbeitet von Thorsten Seifert
am 2026/02/27 10:11
am 2026/02/27 10:11
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Auf Version 2.1
bearbeitet von Thorsten Seifert
am 2026/02/26 17:30
am 2026/02/26 17:30
Änderungskommentar:
Es gibt keinen Kommentar für diese Version
Zusammenfassung
-
Seiteneigenschaften (1 geändert, 0 hinzugefügt, 0 gelöscht)
Details
- Seiteneigenschaften
-
- Inhalt
-
... ... @@ -1,16 +1,13 @@ 1 -{{error}} 2 -**Die Seite befindet sich noch im Aufbau!** 1 += Austausch der Secure Boot Zertifikate = 3 3 4 -Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr. 5 -{{/error}} 6 - 7 7 Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab. 8 8 Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein. 9 9 10 10 Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch! 11 11 12 -= Was bedeutet dies für mich? = 13 13 9 +== Was bedeutet dies für mich? == 10 + 14 14 Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis. 15 15 16 16 Die bedeutet, dass bis Juni: ... ... @@ -20,21 +20,14 @@ 20 20 * Der Windows Bootloader aktualisiert werden muss. 21 21 * Das neue Zertifikat im Bootloader aktiviert werden müssen. 22 22 23 -Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst. 24 -Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden! 25 - 26 26 Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert. 27 27 28 -= Technischer Ablauf = 29 29 30 -== VMwarevSphere==23 +== Technischer Ablauf == 31 31 32 -(% class="box infomessage" %) 33 -((( 34 -**Diesen Teil übernimmt, in Abstimmung mit den Verantwortlichen der virtuellen Maschine, das Rechenzentrum!** 35 -))) 25 +=== VMware vSphere === 36 36 37 -=== Key Exchange Key (KEK) === 27 +==== Key Exchange Key (KEK) ==== 38 38 39 39 * Virtuelle Maschine herunterfahren 40 40 * Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later) ... ... @@ -44,7 +44,7 @@ 44 44 * Aktualisieren der VMware Tools 45 45 * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware) 46 46 47 -=== Platform Key === 37 +==== Platform Key ==== 48 48 49 49 * Virtuelle Maschine Herunterfahren. 50 50 * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE" ... ... @@ -59,75 +59,17 @@ 59 59 * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen. 60 60 * Virtuelle Maschine starten. 61 61 62 -=== Kontrolle === 52 +==== Kontrolle ==== 63 63 64 -Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben: 65 65 66 -* Active authorized database : Certificate OK!"67 -* Default authorized database : Certificate OK!"68 -* Key exchange keys : Certificate OK!"69 -* Platform key : Certificate OK!"55 +* Active authorized database 56 +* Default authorized database 57 +* Key exchange keys 58 +* Platform key 70 70 71 - ==Windows ==60 + 72 72 73 - DasKontroll-Script wird für für denBootloader noch Fehler ausgeben:62 +=== Windows === 74 74 75 -* UEFI CA2023 Update-Status: Not startet! 76 -* Bootloader-Status: Updates failed! 77 - 78 -Aktualisieren der Signaturen des Bootloaders: 79 - 80 -* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}} 81 -** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates! 82 -** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben 83 -* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}} 84 -* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled" 85 - 86 -{{code language="none"}} 87 -Flag: F33E0C8E 88 - Current Configuration: F33E0C8E001 89 - State: Disabled 90 - Pending Configuration: None 91 - Pending Action: None 92 - FwLink: https://aka.ms/getsecureboot 93 - Available Configurations: 94 - F33E0C8E002 95 - F33E0C8E001 96 -{{/code}} 97 - 98 -* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}} 99 -* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}} 100 -* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!** 101 - 102 -=== **Kontrolle** === 103 - 104 -Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben: 105 - 106 -* Active authorized database: Certificate OK!" 107 -* Default authorized database: Certificate OK!" 108 -* Key exchange keys: Certificate OK!" 109 -* Platform key: Certificate OK!" 110 -* UEFI CA2023 Update-Status: Updated! 111 -* Bootloader-Status: Updated! 112 - 113 -Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden! 114 - 115 - 116 -= Ressourcen = 117 - 118 -[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]] 119 - 120 -[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]] 121 - 122 -[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]] 123 - 124 - 125 -[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]] 126 - 127 -[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]] 128 - 129 -[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]] 130 - 131 -[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]] 132 - 133 - 64 +* Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002" 65 +*