Austausch der Secure Boot Zertifikate

Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.

Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!

Was bedeutet dies für mich?

Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf Windows Basis.

Die bedeutet, dass bis Juni:

• Das virtuelle UEFI getauscht werden muss.
• Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
• Der Windows Bootloader aktualisiert werden muss.
• Das neue Zertifikat im Bootloader aktiviert werden müssen.

Auf virtuellen Linux Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.

Technischer Ablauf

VMware vSphere

Key Exchange Key (KEK)

• Virtuelle Maschine herunterfahren
• Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
• Entfernen der zur VM gehörigen .vnram vom Datastore
• Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
• Starten der VM
• Aktualisieren der VMware Tools
• Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)

Platform Key

• Virtuelle Maschine Herunterfahren.
• Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
• Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
• VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
• Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
  • Select the PK file from disk
  • Review
  • Commit changes and exit
• Virtuelle Maschine herunterfahren.
• Die hinzugefügte VHD wieder aushängen.
• Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
• Virtuelle Maschine starten.

Kontrolle

Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:

• Active authorized database: Certificate OK!"
• Default authorized database:  Certificate OK!"
• Key exchange keys:  Certificate OK!"
• Platform key:  Certificate OK!"

Windows

Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.

• UEFI CA2023 Update-Status: Not startet!
• Bootloader-Status: Updates failed!

Aktualisieren der Signaturen des Bootloaders

• Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query --key F33E0C8E002":