تخفيف انتهاء صلاحية شهادة التمهيد الآمن ل Microsoft

المقدمة

يوضح هذا المستند كيفية تخفيف الانتهاء القادم لشهادات التشغيل الآمن فيما يتعلق ببيئات Cisco UCS.

معلومات أساسية

التمهيد الآمن هي ميزة أمان أساسية مدمجة في واجهة البرامج الثابتة الموحدة القابلة للامتداد (UEFI) للخوادم وأجهزة الكمبيوتر الشخصية الحديثة. وينشئ سلسلة من الثقة أثناء عملية التمهيد من خلال ضمان عدم السماح بتنفيذ إلا أجهزة تحميل التمهيد للبرامج الموقعة رقميا والتي تم التحقق منها، وحقول نظام التشغيل، وبرامج تشغيل UEFI. تحمي هذه الآلية الأنظمة من مجموعات معدات تمهيد التشغيل ومجموعات معدات الطعام وغيرها من تهديدات البرامج الضارة منخفضة المستوى.

في صميم "التمهيد الآمن" توجد مجموعة من شهادات التشفير الصادرة عن Microsoft. ويتم تضمين هذه الشهادات في البرنامج الثابت UEFI الخاص بكل خادم وجهاز كمبيوتر تم شحنه فعليا خلال العقد الماضي، بما في ذلك خوادم Cisco UCS (نظام الحوسبة الموحدة). فهي تخدم كمراكز ثقة تثبت شرعية أي جزء من برنامج وقت التمهيد.

كشفت Microsoft الآن عن أنه قد تم تعيين انتهاء صلاحية شهادتي تمهيد تشغيل آمنة مهمتين، وهما Microsoft Windows Production PCA 2011 وMicrosoft UEFI CA 2011 في 19 أكتوبر 2026. يؤثر انتهاء الصلاحية هذا على النظام البيئي للأجهزة بالكامل، وقد اعترفت Cisco بالتأثير على مجموعة خوادم UCS الخاصة بها ضمن معرف تصحيح الأخطاء من Cisco CSCwr45526

المشكلة

ما هي الشهادات التي تنتهي صلاحيتها؟

الشهادتان في مركز هذا إصدار:

شهادة	دور	تاريخ انتهاء الصلاحية
Microsoft Windows Production PCA 2011	توقيع أدوات تحميل التمهيد ل Microsoft Windows والتحقق من صحتها	19 أكتوبر، 2026 م
Microsoft UEFI CA 2011	الإشارة إلى برامج تشغيل UEFI من إنتاج جهة خارجية ووحدات ذاكرة القراءة فقط (ROM) الاختيارية ووحدات تحميل التمهيد غير التابعة لنظام Windows والتحقق من صحتها	19 أكتوبر، 2026 م

يتم تخزين هذه الشهادات في مخازن مفاتيح التمهيد الآمن للبرنامج الثابت UEFI:

• DB (قاعدة بيانات التوقيع) — يحتوي على شهادات موثوق بها تستخدم للتحقق من ثنائيات وقت التمهيد.
• KEK (مفتاح تبادل المفاتيح) — يأذن بتحديث قاعدة بيانات التوقيع.
• PK (مفتاح النظام الأساسي) — جذر الثقة، والذي عادة ما يكون مملوكا من قبل OEM (على سبيل المثال، Cisco).
  
  

• لماذا تمثل هذه مشكلة لخوادم Cisco UCS؟

  يتم شحن خوادم Cisco UCS - بما في ذلك الأنظمة الأساسية من الفئة B (الخوادم النصلية) والفئة C (المركبة على حامل) والفئة x (القابلة لإضافة وحدات أخرى) مع شهادات التمهيد الآمن من Microsoft 2011 المحملة مسبقا في البرامج الثابتة UEFI BIOS. عند تمكين ميزة "التمهيد الآمن"، يستخدم BIOS هذه الشهادات في كل دورة تمهيد للتحقق من:

  • أداة تحميل التمهيد ل Windows Server (على سبيل المثال، bootmgfw.efi)، التي تم توقيعها بواسطة PCA 2011 ل Windows Production.
  • مكونات UEFI التابعة لجهة خارجية، مثل:
    • برامج تشغيل UEFI لوحدة تحكم التخزين (RAID)
    • سماعات بدء تشغيل PXE لمهايئ الشبكة
    • البرامج الثابتة الأخرى الخاصة بجهاز PCIe التي يتم تحميلها أثناء نشر مادة النشر

  ويتم توقيع هذه المكونات عادة بواسطة Microsoft UEFI CA 2011.

  ماذا يحدث إذا لم يتخذ أي إجراء؟

  • فشل خادم Windows في التمهيد 

  • تم رفض برامج تشغيل UEFI وخيارات ROMs 

  لا تحدث هذه الإخفاقات حتى تبدأ Microsoft في توقيع أدوات تحميل التمهيد ل Windows بشهادات جديدة. 

قامت Cisco بتعقب هذه المشكلة رسميا تحت Cisco Bug ID CSCwr45526
ويعترف هذا الخلل بما يلي:

• يحتوي البرنامج الثابت لخادم UCS على شهادات التمهيد الآمن ل Microsoft 2011 التي انتهت صلاحيتها.
• يلزم تحديث البرنامج الثابت لتقديم شهادات الاستبدال (شهادات Microsoft 2023) في مخازن المفاتيح UEFI.

الحل

تطبيق تحديثات البرنامج الثابت Cisco UCS

البرامج الثابتة المحدثة الخاصة بمنصات UCS المتأثرة التي تتضمن شهادات التمهيد الآمن الجديدة من Microsoft:

شهادة جديدة	تستعاض
Microsoft Windows UEFI CA 2023	Microsoft Windows Production PCA 2011
Microsoft UEFI CA 2023	Microsoft UEFI CA 2011

خطوات الإجراء:

• مدرب cisco بق id CSCwr45526 في أداة البحث عن الأخطاء من Cisco الخاصة بإصدارات البرامج الثابتة الثابتة والجداول الزمنية للإصدار.
• قم بتنزيل البرنامج الثابت المحدث ونشره عندما يكون متوفرا للنظام الأساسي UCS الخاص بك (الفئة B، السلسلة C، السلسلة X).
• إستخدام أدوات الإدارة من Cisco لترقية البرامج الثابتة:
  • Cisco Intersight — للبيئات المدارة عبر السحابة، أستخدم سياسات إدارة البرامج الثابتة Intersight لتنسيق التحديثات على نطاق واسع.
  • مدير Cisco UCS (UCSM) — للخوادم من السلسلة B و C المدارة بالمجال.
  • Cisco IMC (وحدة التحكم في الإدارة المتكاملة) — للخوادم المستقلة من الفئة C المثبتة على حامل.

يوضح الجدول الحد الأدنى لإصدار البرامج الثابتة الذي يتضمن الإصلاح الذي يحتوي على الشهادات المحدثة:

1. الخوادم المستقلة المركبة على حامل (HUU)

طراز الخادم	إصدار (إصدارات) البرنامج الثابت
UCS C125	4.3.2.260007
UCS C220 M5	4.3.2.260007
UCS C220 M6	4.3.6.260017, 6.0.2.260044
UCS C220 M7	4.3.6.260017, 6.0.2.260044
UCS C220 M8	4.3.6.260017, 6.0.2.260044
UCS C225 M6	4.3.6.260017, 6.0.2.260044
UCS C225 M8	4.3.6.260017, 6.0.2.260044
UCS C240 M5	4.3.2.260007
UCS C240 M6	4.3.6.260017, 6.0.2.260044
UCS C240 M7	4.3.6.260017, 6.0.2.260044
UCS C240 M8	4.3.6.260017, 6.0.2.260044
UCS C245 M6	4.3.6.260017, 6.0.2.260044
UCS C245 M8	4.3.6.260017, 6.0.2.260044
UCS C480 M5	4.3.2.260007
UCS S3260	4.3.6.260017
UCS XE130c M8	6.0.2.260042

---

2. ملقمات الحوامل المتصلة بتقنية Intersight (IMC)

إصدار البرنامج الثابت IMC
IMC-6.0.2.260044
IMC-6.0.2.260043
IMC-6.0.2.260042
IMC-6.0.2.260040
IMC-6.0.2.260026
IMC-5.4.0.260011
IMC-5.4.0.260010
IMC-5.4.0.260009
IMC-4.3.6.260017
IMC-4.3.2.260007

---

3 - خوادم الإدارة المتكاملة للموارد

طراز الخادم	إصدار (إصدارات) البرنامج الثابت
UCS B200 M5	5.4.0.260011
UCS B480 M5	5.4.0.260011
UCS B200 M6	5.4.0.260011, 6.0.2.260040
UCS 210c M6	5.4.0.260009, 6.0.2.260040
UCS 210c M7	5.4.0.260010, 6.0.2.260040
UCS 410c M7	5.4.0.260010, 6.0.2.260040
UCS 210c M8	5.4.0.260010, 6.0.2.260040
UCS 215c M8	5.4.0.260010, 6.0.2.260040
UCS 410c M8	6.0.2.260040

---

4. خوادم UCSM المدارة

إصدار البرنامج الثابت UCSM
4.3(6f) UCSM
6.0(2b) UCSM

واستنادا إلى نظام التشغيل الذي يتم تشغيله على خوادم UCS، قد يلزم تهيئة إضافية لمعالجة مشكلة انتهاء صلاحية شهادة UEFI. توصي Cisco بالتشاور مع مورد نظام التشغيل المعني للحصول على إرشادات حول أي خطوات إصلاح خاصة بنظام التشغيل.

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	08-Apr-2026	الإصدار الأولي