Wiki-Quellcode von Secure Boot Zertifikate

Version 14.1 von Thorsten Seifert am 2026/02/27 10:25

version	line-number	content
6.2	1	{{error}}
7.1	2	Die Seite befindet sich noch im Aufbau!
6.2	3
7.1	4	Wir übernehmen keine Garantie auf Funktion. Durchführung auf eigene Gefahr.
6.2	5	{{/error}}
	6
1.4	7	Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
	8	Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
1.1	9
1.3	10	Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
1.4	11
2.6	12	= Was bedeutet dies für mich? =
1.4	13
	14	Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf Windows Basis.
	15
	16	Die bedeutet, dass bis Juni:
	17
	18	* Das virtuelle UEFI getauscht werden muss.
	19	* Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
	20	* Der Windows Bootloader aktualisiert werden muss.
	21	* Das neue Zertifikat im Bootloader aktiviert werden müssen.
	22
4.2	23	Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
4.3	24	Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
4.2	25
1.4	26	Auf virtuellen Linux Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
	27
2.6	28	= Technischer Ablauf =
1.4	29
12.2	30	== Aktuellen Secure Boot Status abfragen ==
	31
12.4	32	Ausführen des Powershell Skriptes "SecureBootStatus.ps1" auf der Virtuellen Maschine in einer Elevated Shell.
12.2	33
14.1	34	Die Ausgabe auf einem Host (Windows Server 2022), bei dem die Zertifikate fehlen:
12.4	35
14.1	36	[[image:SecureBootStatus_VMware_01.png\|\|height="366" width="700"]]
	37
2.6	38	== VMware vSphere ==
1.4	39
9.1	40	(% class="box infomessage" %)
	41	(((
11.1	42	Den Tausch des KEK und PK übernimmt, in Abstimmung mit den Verantwortlichen der virtuellen Maschine, das Rechenzentrum!
9.1	43	)))
6.1	44
2.6	45	=== Key Exchange Key (KEK) ===
1.4	46
	47	* Virtuelle Maschine herunterfahren
	48	* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
	49	* Entfernen der zur VM gehörigen .vnram vom Datastore
	50	* Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
	51	* Starten der VM
	52	* Aktualisieren der VMware Tools
	53	* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
	54
11.1	55	=== Platform Key (PK) ===
1.4	56
	57	* Virtuelle Maschine Herunterfahren.
	58	* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
	59	* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
	60	* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
	61	* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
	62	** Select the PK file from disk
	63	** Review
	64	** Commit changes and exit
	65	* Virtuelle Maschine herunterfahren.
	66	* Die hinzugefügte VHD wieder aushängen.
	67	* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
	68	* Virtuelle Maschine starten.
	69
2.6	70	=== Kontrolle ===
1.5	71
2.2	72	Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
1.5	73
2.2	74	* Active authorized database: Certificate OK!"
2.3	75	* Default authorized database: Certificate OK!"
	76	* Key exchange keys: Certificate OK!"
	77	* Platform key: Certificate OK!"
1.6	78
2.6	79	== Windows ==
1.6	80
5.1	81	Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
2.3	82
2.4	83	* UEFI CA2023 Update-Status: Not startet!
	84	* Bootloader-Status: Updates failed!
	85
4.3	86	Aktualisieren der Signaturen des Bootloaders:
2.4	87
3.7	88	* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing \| Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
4.1	89	** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
	90	** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
2.7	91	* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
3.3	92	* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
2.5	93
	94	{{code language="none"}}
	95	Flag: F33E0C8E
	96	Current Configuration: F33E0C8E001
	97	State: Disabled
	98	Pending Configuration: None
	99	Pending Action: None
	100	FwLink: https://aka.ms/getsecureboot
	101	Available Configurations:
	102	F33E0C8E002
	103	F33E0C8E001
	104	{{/code}}
	105
4.1	106	* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
3.1	107	* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
	108	* Die Virtuelle Maschine muss mindestens zwei mal neu gestartet werden!
2.7	109
3.1	110	=== Kontrolle ===
2.7	111
3.1	112	Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
2.8	113
3.1	114	* Active authorized database: Certificate OK!"
	115	* Default authorized database: Certificate OK!"
	116	* Key exchange keys: Certificate OK!"
	117	* Platform key: Certificate OK!"
	118	* UEFI CA2023 Update-Status: Updated!
	119	* Bootloader-Status: Updated!
	120
	121	Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!
8.1	122
	123
	124	= Ressourcen =
	125
	126	[[https:~~/~~/techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789>>https://techcommunity.microsoft.com/blog/windowsservernewsandbestpractices/windows-server-secure-boot-playbook-for-certificates-expiring-in-2026/4495789]]
8.2	127
	128	[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
	129
	130	[[https:~~/~~/learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are>>https://learn.microsoft.com/en-us/answers/questions/5652654/secure-boot-certificates-have-been-updated-but-are]]
	131
12.1	132	[[https:~~/~~/support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe>>https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe]]
8.2	133
12.1	134
8.2	135	[[https:~~/~~/knowledge.broadcom.com/external/article/424429>>https://knowledge.broadcom.com/external/article/424429]]
	136
	137	[[https:~~/~~/knowledge.broadcom.com/external/article/423893>>https://knowledge.broadcom.com/external/article/423893]]
	138
	139	[[https:~~/~~/knowledge.broadcom.com/external/article/423919>>https://knowledge.broadcom.com/external/article/423919]]
	140
	141	[[https:~~/~~/knowledge.broadcom.com/external/article/421593/>>https://knowledge.broadcom.com/external/article/421593/]]
	142
	143

Wiki-Quellcode von Secure Boot Zertifikate

Suchen

Navigation