Wiki-Quellcode von Secure Boot Zertifikate

Version 12.4 von Thorsten Seifert am 2026/02/27 10:22

version	line-number	content
6.2	1	{{error}}
7.1	2	Die Seite befindet sich noch im Aufbau!
6.2	3
7.1	4	Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
6.2	5	{{/error}}
	6
1.4	7	Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
	8	Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
1.1	9
1.3	10	Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
1.4	11
2.6	12	= Was bedeutet dies für mich? =
1.4	13
	14	Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf Windows Basis.
	15
	16	Die bedeutet, dass bis Juni:
	17
	18	* Das virtuelle UEFI getauscht werden muss.
	19	* Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
	20	* Der Windows Bootloader aktualisiert werden muss.
	21	* Das neue Zertifikat im Bootloader aktiviert werden müssen.
	22
4.2	23	Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
4.3	24	Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
4.2	25
1.4	26	Auf virtuellen Linux Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
	27
2.6	28	= Technischer Ablauf =
1.4	29
12.2	30	== Aktuellen Secure Boot Status abfragen ==
	31
12.4	32	Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell.
12.2	33
12.4	34	Die Ausgabe auf einem Host, bei dem die Zertifikate fehlen, sie
	35
2.6	36	== VMware vSphere ==
1.4	37
9.1	38	(% class="box infomessage" %)
	39	(((
11.1	40	Den Tausch des KEK und PK übernimmt, in Abstimmung mit den Verantwortlichen der virtuellen Maschine, das Rechenzentrum!
9.1	41	)))
6.1	42
2.6	43	=== Key Exchange Key (KEK) ===
1.4	44
	45	* Virtuelle Maschine herunterfahren
	46	* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
	47	* Entfernen der zur VM gehörigen .vnram vom Datastore
	48	* Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
	49	* Starten der VM
	50	* Aktualisieren der VMware Tools
	51	* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
	52
11.1	53	=== Platform Key (PK) ===
1.4	54
	55	* Virtuelle Maschine Herunterfahren.
	56	* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
	57	* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
	58	* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
	59	* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
	60	** Select the PK file from disk
	61	** Review
	62	** Commit changes and exit
	63	* Virtuelle Maschine herunterfahren.
	64	* Die hinzugefügte VHD wieder aushängen.
	65	* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
	66	* Virtuelle Maschine starten.
	67
2.6	68	=== Kontrolle ===
1.5	69
2.2	70	Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
1.5	71
2.2	72	* Active authorized database: Certificate OK!"
2.3	73	* Default authorized database: Certificate OK!"
	74	* Key exchange keys: Certificate OK!"
	75	* Platform key: Certificate OK!"
1.6	76
2.6	77	== Windows ==
1.6	78
5.1	79	Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
2.3	80
2.4	81	* UEFI CA2023 Update-Status: Not startet!
	82	* Bootloader-Status: Updates failed!
	83
4.3	84	Aktualisieren der Signaturen des Bootloaders:
2.4	85
3.7	86	* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing \| Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
4.1	87	** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
	88	** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
2.7	89	* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
3.3	90	* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
2.5	91
	92	{{code language="none"}}
	93	Flag: F33E0C8E
	94	Current Configuration: F33E0C8E001
	95	State: Disabled
	96	Pending Configuration: None
	97	Pending Action: None
	98	FwLink: https://aka.ms/getsecureboot
	99	Available Configurations:
	100	F33E0C8E002
	101	F33E0C8E001
	102	{{/code}}
	103
4.1	104	* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
3.1	105	* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
	106	* Die Virtuelle Maschine muss mindestens zwei mal neu gestartet werden!
2.7	107
3.1	108	=== Kontrolle ===
2.7	109
3.1	110	Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
2.8	111
3.1	112	* Active authorized database: Certificate OK!"
	113	* Default authorized database: Certificate OK!"
	114	* Key exchange keys: Certificate OK!"
	115	* Platform key: Certificate OK!"
	116	* UEFI CA2023 Update-Status: Updated!
	117	* Bootloader-Status: Updated!
	118
	119	Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
8.1	120
	121
	122	= Ressourcen =
	123
	124	[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
8.2	125
	126	[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
	127
	128	[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
	129
12.1	130	[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
8.2	131
12.1	132
8.2	133	[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
	134
	135	[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
	136
	137	[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
	138
	139	[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
	140
	141

Wiki-Quellcode von Secure Boot Zertifikate

Suchen

Navigation