Zum Inhalt springen

Secure Boot Zertifikate

Version 4.3 von Thorsten Seifert am 2026/02/26 18:02

Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.

Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!

Was bedeutet dies für mich?

Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf Windows Basis.

Die bedeutet, dass bis Juni:

  • Das virtuelle UEFI getauscht werden muss.
  • Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
  • Der Windows Bootloader aktualisiert werden muss.
  • Das neue Zertifikat im Bootloader aktiviert werden müssen.

Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!

Auf virtuellen Linux Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.

Technischer Ablauf

VMware vSphere

Key Exchange Key (KEK)

  • Virtuelle Maschine herunterfahren
  • Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
  • Entfernen der zur VM gehörigen .vnram vom Datastore
  • Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
  • Starten der VM
  • Aktualisieren der VMware Tools
  • Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)

Platform Key

  • Virtuelle Maschine Herunterfahren.
  • Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
  • Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
  • VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
  • Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
    • Select the PK file from disk
    • Review
    • Commit changes and exit
  • Virtuelle Maschine herunterfahren.
  • Die hinzugefügte VHD wieder aushängen.
  • Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
  • Virtuelle Maschine starten.

Kontrolle

Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:

  • Active authorized database: Certificate OK!"
  • Default authorized database:  Certificate OK!"
  • Key exchange keys:  Certificate OK!"
  • Platform key:  Certificate OK!"

Windows

Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben.

  • UEFI CA2023 Update-Status: Not startet!
  • Bootloader-Status: Updates failed!

Aktualisieren der Signaturen des Bootloaders:

  • Update-Status für das UEFI-Zertifikat abfragen:Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}
    • Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
    • Die Ausgabe sollte als WindowsUEFICA2023Capable "1" und UEFICA2023Status "NotStartet" ausgeben
  • Signatur des Bootloader Kontrollieren: In der Powershell WinCsFlags.exe /query --key F33E0C8E002
  • Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
Flag: F33E0C8E
  Current Configuration: F33E0C8E001
  State: Disabled
  Pending Configuration: None
  Pending Action: None
  FwLink: https://aka.ms/getsecureboot
  Available Configurations:
    F33E0C8E002
    F33E0C8E001
  • Hinzufügen der Signatur zum Secure Boot Updater: WinCsFlags.exe /apply --key "F33E0C8E002"
  • Update des Secure Boot Bootloaders: Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
  • Die Virtuelle Maschine muss mindestens zwei mal neu gestartet werden!

Kontrolle

Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:

  • Active authorized database: Certificate OK!"
  • Default authorized database:  Certificate OK!"
  • Key exchange keys:  Certificate OK!"
  • Platform key:  Certificate OK!"
  • UEFI CA2023 Update-Status: Updated!
  • Bootloader-Status: Updated!

Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!