Zum Inhalt springen

Wiki-Quellcode von Secure Boot Zertifikate

Version 2.5 von Thorsten Seifert am 2026/02/26 17:37
Verstecke letzte Bearbeiter
Thorsten Seifert 1.1 1 = Austausch der Secure Boot Zertifikate =
2
Thorsten Seifert 1.4 3 Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
4 Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
Thorsten Seifert 1.1 5
Thorsten Seifert 1.3 6 Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
Thorsten Seifert 1.4 7
8
9 == Was bedeutet dies für mich? ==
10
11 Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf **Windows **Basis.
12
13 Die bedeutet, dass bis Juni:
14
15 * Das virtuelle UEFI getauscht werden muss.
16 * Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
17 * Der Windows Bootloader aktualisiert werden muss.
18 * Das neue Zertifikat im Bootloader aktiviert werden müssen.
19
20 Auf virtuellen **Linux **Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
21
22
23 == Technischer Ablauf ==
24
25 === VMware vSphere ===
26
27 ==== Key Exchange Key (KEK) ====
28
29 * Virtuelle Maschine herunterfahren
30 * Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
31 * Entfernen der zur VM gehörigen .vnram vom Datastore
32 * Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
33 * Starten der VM
34 * Aktualisieren der VMware Tools
35 * Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
36
37 ==== Platform Key ====
38
39 * Virtuelle Maschine Herunterfahren.
40 * Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
41 * Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
42 * VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
43 * Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
44 ** Select the PK file from disk
45 ** Review
46 ** Commit changes and exit
47 * Virtuelle Maschine herunterfahren.
48 * Die hinzugefügte VHD wieder aushängen.
49 * Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
50 * Virtuelle Maschine starten.
51
Thorsten Seifert 1.6 52 ==== Kontrolle ====
Thorsten Seifert 1.5 53
Thorsten Seifert 2.2 54 Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
Thorsten Seifert 1.5 55
Thorsten Seifert 2.2 56 * Active authorized database: Certificate OK!"
Thorsten Seifert 2.3 57 * Default authorized database:  Certificate OK!"
58 * Key exchange keys:  Certificate OK!"
59 * Platform key:  Certificate OK!"
Thorsten Seifert 1.6 60
61
Thorsten Seifert 2.2 62
Thorsten Seifert 1.4 63 === Windows ===
64
Thorsten Seifert 2.4 65 Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.
Thorsten Seifert 2.3 66
Thorsten Seifert 2.4 67 * UEFI CA2023 Update-Status: Not startet!
68 * Bootloader-Status: Updates failed!
69
70 Aktualisieren der Signaturen des Bootloaders
71
Thorsten Seifert 2.5 72 * Signatur des Bootloader Kontrollieren: In der Powershell "WinCsFlags.exe /query ~-~-key F33E0C8E002":
73
74 {{code language="none"}}
75 Flag: F33E0C8E
76 Current Configuration: F33E0C8E001
77 State: Disabled
78 Pending Configuration: None
79 Pending Action: None
80 FwLink: https://aka.ms/getsecureboot
81 Available Configurations:
82 F33E0C8E002
83 F33E0C8E001
84 {{/code}}
85
86