Secure Boot Zertifikate

* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.

49

* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)

50

* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK

51

** Select the PK file from disk

52

** Review

53

** Commit changes and exit

54

* Virtuelle Maschine herunterfahren.

55

* Die hinzugefügte VHD wieder aushängen.

56

* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.

57

* Virtuelle Maschine starten.

=== Kontrolle ===

Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:

62

63

* Active authorized database: Certificate OK!"

64

* Default authorized database: Certificate OK!"

65

* Key exchange keys: Certificate OK!"

66

* Platform key: Certificate OK!"

== Windows ==

Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:

71

72

* UEFI CA2023 Update-Status: Not startet!

73

* Bootloader-Status: Updates failed!

74

75

Aktualisieren der Signaturen des Bootloaders:

76

77

* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing | Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}

78

** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!

79

** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben

80

* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}

81

* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"

Flag: F33E0C8E

Current Configuration: F33E0C8E001

86

State: Disabled

87

Pending Configuration: None

88

Pending Action: None

89

FwLink: https://aka.ms/getsecureboot

90

Available Configurations:

F33E0C8E002

F33E0C8E001

* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}

96

* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}

97

* Die Virtuelle Maschine muss mindestens **zwei mal** neu gestartet werden**!**

98

99

=== **Kontrolle** ===

100

101

Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:

102

103

* Active authorized database: Certificate OK!"

104

* Default authorized database: Certificate OK!"

105

* Key exchange keys: Certificate OK!"

106

* Platform key: Certificate OK!"

107

* UEFI CA2023 Update-Status: Updated!

108

* Bootloader-Status: Updated!

109

110

Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!

Wiki-Quellcode von Secure Boot Zertifikate

Suchen

Navigation

author	version	line-number	content
		1	{{error}}
		2	Die Seite befindet sich noch im Aufbau!
		3
		4	Wir übernehmen keine Garantie auf Funktion, aus
		5	{{/error}}
		6
		7	Die von Microsoft im Jahr 2011 erstellten und 15 Jahre gültigen Zertifikate für Secure Boot laufen im Juni diesen Jahres ab.
		8	Bei Client-Systemen sollten die neuen Zertifikate bereits über Windows Update installiert und im Bootloader aktiviert sein.
		9
		10	Auf Server-Systemen passiert dies aus Gründen der Sicherheit nicht automatisch!
		11
		12	= Was bedeutet dies für mich? =
		13
		14	Davon betroffen sind vom Rechenzentrum bereitgestellte, virtuellen Root-Host auf Windows Basis.
		15
		16	Die bedeutet, dass bis Juni:
		17
		18	* Das virtuelle UEFI getauscht werden muss.
		19	* Die aktuellen Secure Boot Zertifikate im UEFI hinterlegt werden müssen.
		20	* Der Windows Bootloader aktualisiert werden muss.
		21	* Das neue Zertifikat im Bootloader aktiviert werden müssen.
		22
		23	Wir werden in den Kommenden tagen ein Powershell-Script bereitstellen, dass den aktuellen Status der Zertifikate zusammenfasst.
		24	Dieses Script muss mit Administrator-Berechtigungen auf der Virtuellen Maschine ausgeführt werden!
		25
		26	Auf virtuellen Linux Root-Host, die vom Rechenzentrum herausgegeben werden, ist Secure Boot nicht aktiviert.
		27
		28	= Technischer Ablauf =
		29
		30	== VMware vSphere ==
		31
		32	Diesen Teil übernimmt, in Abstimmung mit den Verantwortlichen der virtuellen Maschine, das Rechenzentrum!
		33
		34	=== Key Exchange Key (KEK) ===
		35
		36	* Virtuelle Maschine herunterfahren
		37	* Heben der Virtual Hardware Compatibility auf mindestens VM version 21 (8.0 ESXi 8.0 U2 and later)
		38	* Entfernen der zur VM gehörigen .vnram vom Datastore
		39	* Beim erneuten Start VM wird eine neue, aktuelle .vnram erstellt. Diese enthält die aktuellen Zertifikate.
		40	* Starten der VM
		41	* Aktualisieren der VMware Tools
		42	* Installation von Windows Updates (u.a. aktuelle Treiber durch heben der Virtual Hardware)
		43
		44	=== Platform Key ===
		45
		46	* Virtuelle Maschine Herunterfahren.
		47	* Hinzufügen des Advanced Parameters (Edit Settings → Advanced Parameters): uefi.allowAuthBypass = "TRUE"
		48	* Hinzufügen einer bestehenden Festplatte zu der VM. Diese ist Bereits vorbereitet (vSAN/_SECURE_BOOT_CERTIFICATE_VMDK/EFI_CERT.vmdk) und enthält das Platform Key Zertifikat.
		49	* VM ins UEFI starten (Edit Settings → VM Options → Boot Options → Enable Force EFI Setup)
		50	* Im UEFI: Enter Setup → Secure Boot Configuration → PK Options → Enroll PK
		51	** Select the PK file from disk
		52	** Review
		53	** Commit changes and exit
		54	* Virtuelle Maschine herunterfahren.
		55	* Die hinzugefügte VHD wieder aushängen.
		56	* Den Advanced Parameter "uefi.allowAuthBypass" wieder entfernen.
		57	* Virtuelle Maschine starten.
		58
		59	=== Kontrolle ===
		60
		61	Das Kontroll-Script sollte für die ersten vier Punkte nun "Certificate OK!" ausgeben:
		62
		63	* Active authorized database: Certificate OK!"
		64	* Default authorized database: Certificate OK!"
		65	* Key exchange keys: Certificate OK!"
		66	* Platform key: Certificate OK!"
		67
		68	== Windows ==
		69
		70	Das Kontroll-Script wird für für den Bootloader noch Fehler ausgeben:
		71
		72	* UEFI CA2023 Update-Status: Not startet!
		73	* Bootloader-Status: Updates failed!
		74
		75	Aktualisieren der Signaturen des Bootloaders:
		76
		77	* Update-Status für das UEFI-Zertifikat abfragen:{{code language="none"}}Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing \| Select-Object WindowsUEFICA2023Capable, UEFICA2023Status, @{n="UEFICA2023Error";e={'0x' + '{0:x}' -f $_.UEFICA2023Error}}{{/code}}
		78	** Erfolgt keine Ausgabe, fehlt eines der oben genannten Zertifikate oder wichtige Windows Updates!
		79	** Die Ausgabe sollte als //WindowsUEFICA2023Capable //"1" und //UEFICA2023Status //"NotStartet" ausgeben
		80	* Signatur des Bootloader Kontrollieren: In der Powershell {{code language="none"}}WinCsFlags.exe /query --key F33E0C8E002{{/code}}
		81	* Als "Current Configuration", sollte noch die alte Signatur hinterlegt sein (F33E0C8E001), der "State" ist "Disabled"
		82
		83	{{code language="none"}}
		84	Flag: F33E0C8E
		85	Current Configuration: F33E0C8E001
		86	State: Disabled
		87	Pending Configuration: None
		88	Pending Action: None
		89	FwLink: https://aka.ms/getsecureboot
		90	Available Configurations:
		91	F33E0C8E002
		92	F33E0C8E001
		93	{{/code}}
		94
		95	* Hinzufügen der Signatur zum Secure Boot Updater: {{code language="none"}}WinCsFlags.exe /apply --key "F33E0C8E002"{{/code}}
		96	* Update des Secure Boot Bootloaders: {{code language="none"}}Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"{{/code}}
		97	* Die Virtuelle Maschine muss mindestens zwei mal neu gestartet werden!
		98
		99	=== Kontrolle ===
		100
		101	Das Kontroll-Script sollte nun für alle Punkte ein "OK" ausgeben:
		102
		103	* Active authorized database: Certificate OK!"
		104	* Default authorized database: Certificate OK!"
		105	* Key exchange keys: Certificate OK!"
		106	* Platform key: Certificate OK!"
		107	* UEFI CA2023 Update-Status: Updated!
		108	* Bootloader-Status: Updated!
		109
		110	Sollte der Bootloader-Status noch "Reboot pending!" ausgeben, muss die VM nochmals, nach etwas Wartezeit, neu gestartet werden!