تخفيف انتهاء صلاحية شهادة التمهيد الآمن ل Microsoft

المقدمة

يوضح هذا المستند كيفية تخفيف الانتهاء القادم لشهادات التشغيل الآمن فيما يتعلق ببيئات Cisco UCS.

معلومات أساسية

التمهيد الآمن هي ميزة أمان أساسية مدمجة في واجهة البرامج الثابتة الموحدة القابلة للامتداد (UEFI) الخاصة بالخوادم وأجهزة الكمبيوتر الشخصية الحديثة. وينشئ سلسلة من الثقة أثناء عملية التمهيد من خلال ضمان عدم السماح بتنفيذ إلا أجهزة تحميل التمهيد للبرامج الموقعة رقميا والتي تم التحقق منها، وحقول نظام التشغيل، وبرامج تشغيل UEFI. تحمي هذه الآلية الأنظمة من مجموعات معدات تمهيد التشغيل ومجموعات معدات الطعام وغيرها من تهديدات البرامج الضارة منخفضة المستوى.

في صميم "التمهيد الآمن" توجد مجموعة من شهادات التشفير التي تم إصدارها بواسطة Microsoft. ويتم تضمين هذه الشهادات في البرنامج الثابت UEFI الخاص بكل خادم وكمبيوتر تم شحنه فعليا خلال العقد الماضي، بما في ذلك خوادم Cisco UCS (نظام الحوسبة الموحدة). فهي تخدم كمراكز ثقة تثبت شرعية أي جزء من برنامج وقت التمهيد.

كشفت Microsoft الآن عن أنه قد تم تعيين انتهاء صلاحية شهادتي تمهيد آمنة وحرجتين، وهما Microsoft Windows Production PCA 2011 و Microsoft UEFI CA 2011 في 19 أكتوبر 2026. يؤثر انتهاء الصلاحية هذا على النظام البيئي للأجهزة بالكامل، وقد اعترفت Cisco بالتأثير على مجموعة خوادم UCS الخاصة بها ضمن معرف تصحيح الأخطاء من Cisco CSCwr45526.

المشكلة

ما هي الشهادات التي تنتهي صلاحيتها؟

الشهادتان في مركز هذا إصدار:

شهادة	دور	تاريخ انتهاء الصلاحية
Microsoft Windows Production PCA 2011	توقيع أدوات تحميل التمهيد ل Microsoft Windows والتحقق من صحتها	19 أكتوبر، 2026 م
Microsoft UEFI CA 2011	الإشارة إلى برامج تشغيل UEFI من إنتاج جهة خارجية ووحدات ذاكرة القراءة فقط (ROM) الاختيارية ووحدات تحميل التمهيد غير التابعة لنظام Windows والتحقق من صحتها	19 أكتوبر، 2026 م

يتم تخزين هذه الشهادات في مخازن مفاتيح التمهيد الآمن للبرنامج الثابت UEFI:

• DB (قاعدة بيانات التوقيع) — يحتوي على شهادات موثوق بها تستخدم للتحقق من ثنائيات وقت التمهيد.
• KEK (مفتاح تبادل المفاتيح) — يأذن بتحديث قاعدة بيانات التوقيع.
• PK (مفتاح النظام الأساسي) — جذر الثقة، والذي عادة ما يكون مملوكا من قبل OEM (على سبيل المثال، Cisco).
  

لماذا تمثل هذه مشكلة لخوادم Cisco UCS؟

خوادم Cisco UCS — أنظمة أساسية من الفئة B-Series (الخوادم النصلية) والفئة C (المركبة على حامل) والفئة x (القابلة لإضافة وحدات أخرى) — يتم شحنها مع شهادات التمهيد الآمن من Microsoft 2011 محملة مسبقا في البرامج الثابتة UEFI BIOS الخاصة بها. عند تمكين ميزة "التمهيد الآمن"، يستخدم BIOS هذه الشهادات في كل دورة تمهيد للتحقق من:

• أداة تحميل التمهيد ل Windows Server (على سبيل المثال، bootmgfw.efi)، والتي تم توقيعها بواسطة PCA 2011 الخاص بإنتاج Windows.
• مكونات UEFI التابعة لجهة خارجية، مثل:
  • برامج تشغيل UEFI لوحدة تحكم التخزين (RAID)
  • سماعات بدء تشغيل PXE لمهايئ الشبكة
  • البرامج الثابتة الأخرى الخاصة بجهاز PCIe التي يتم تحميلها أثناء نشر مادة النشر

ويتم توقيع هذه المكونات عادة بواسطة Microsoft UEFI CA 2011.

ماذا يحدث إذا لم يتخذ أي إجراء؟

• فشل خادم Windows في التمهيد.

• تم رفض برامج تشغيل UEFI وخيارات ROMs.

تتبعت Cisco رسميا هذا إصدار تحت cisco بق id CSCwr45526.

ويعترف هذا الخلل بما يلي:

• يحتوي البرنامج الثابت لخادم UCS على شهادات التمهيد الآمن ل Microsoft 2011 التي انتهت صلاحيتها.
• يلزم تحديث البرنامج الثابت لتقديم شهادات الاستبدال (شهادات Microsoft 2023) في مخازن المفاتيح UEFI.

الحل

تطبيق تحديثات البرنامج الثابت Cisco UCS

البرامج الثابتة المحدثة الخاصة بمنصات UCS المتأثرة التي تتضمن شهادات التمهيد الآمن الجديدة من Microsoft:

شهادة جديدة	تستعاض
Microsoft Windows UEFI CA 2023	Microsoft Windows Production PCA 2011
Microsoft UEFI CA 2023	Microsoft UEFI CA 2011

خطوات الإجراء

• مراقبة معرف تصحيح الأخطاء من Cisco CSCwr45526 على أداة البحث عن الأخطاء من Cisco لإصدار البرامج الثابتة والجداول الزمنية للإصدار.
• قم بتنزيل البرنامج الثابت المحدث ونشره عندما يكون متوفرا للنظام الأساسي UCS الخاص بك (الفئة B، السلسلة C، السلسلة X).
• إستخدام أدوات الإدارة من Cisco لترقية البرامج الثابتة:
  • Cisco Intersight — للبيئات المدارة عبر السحابة، أستخدم سياسات إدارة البرامج الثابتة Intersight لتنسيق التحديثات على نطاق واسع.
  • مدير Cisco UCS (UCSM) — للخوادم من السلسلة B و C المدارة بالمجال.
  • Cisco IMC (وحدة التحكم في الإدارة المتكاملة) — للخوادم المستقلة من الفئة C المثبتة على حامل.

تحتوي الجداول التالية على الحد الأدنى لإصدار البرنامج الثابت الذي يتضمن الإصلاح مع الشهادات المحدثة، كما تحتوي الإصدارات الأعلى على إصلاح:

الوضع المدار Intersight (IMM) - الخوادم

1. الخوادم النصلية (B و X - Series)

طراز الخادم	إصدار (إصدارات) البرنامج الثابت
UCSB-B200-M5	5.4.0.260011
UCSB-B480-M5	5.4.0.260011
UCSB-B200-M6	5.4.0.260011, 6.0.2.260040
UCSX-210c-M6	5.4.0.260009, 6.0.2.260040
UCSX-210c-M7	5.4.0.260010, 6.0.2.260040
UCSX-410c-M7	5.4.0.260010, 6.0.2.260040
UCSX-210c-M8	5.4.0.260010, 6.0.2.260040
UCSX-215C-M8	5.4.0.260010, 6.0.2.260040
UCSX-410c-M8	6.0.2.260040

2. خوادم مركبة على حامل (C-Series) مدمجة في وضع إدارة Intersight (IMC)

إصدار البرنامج الثابت IMC
IMC-6.0.2.260044
IMC-6.0.2.260043
IMC-6.0.2.260042
IMC-6.0.2.260040
IMC-6.0.2.260026
IMC-5.4.0.260011
IMC-5.4.0.260010
IMC-5.4.0.260009
IMC-4.3.6.260017
IMC-4.3.2.260007

الخوادم المستقلة القابلة للتركيب على حامل (الفئة C) - الأداة المساعدة لترقية المضيف (HUU)

طراز الخادم	إصدار (إصدارات) البرنامج الثابت
UCSC-C125	4.3.2.260007
UCSC-C220-M5	4.3.2.260007
UCSC-C220-M6	4.3.6.260017, 6.0.2.260044
UCSC-C220-M7	4.3.6.260017, 6.0.2.260044
UCSC-C220-M8	4.3.6.260017, 6.0.2.260044
UCSC-C225-M6	4.3.6.260017, 6.0.2.260044
UCSC-C225-M8	4.3.6.260017, 6.0.2.260044
UCSC-C240-M5	4.3.2.260007
UCSC-C240-M6	4.3.6.260017, 6.0.2.260044
UCSC-C240-M7	4.3.6.260017, 6.0.2.260044
UCSC-C240-M8	4.3.6.260017, 6.0.2.260044
UCSC-C245-M6	4.3.6.260017, 6.0.2.260044
UCSC-C245-M8	4.3.6.260017, 6.0.2.260044
UCSC-C480-M5	4.3.2.260007
UCS-S3260-M5	4.3.6.260017
UCSXE-130c-M8	6.0.2.260042

مدير UCS (UCSM) - الخوادم المدارة

إصدار البرنامج الثابت UCSM
4.3(6f)
6.0(2b)

يلزم أحيانا تكوين إضافي لحل مشكلة انتهاء صلاحية شهادة UEFI، استنادا إلى نظام التشغيل الموجود على خوادم UCS. توصي Cisco بالاتصال بمورد نظام التشغيل المعني للحصول على إرشادات حول خطوات المعالجة المحددة.

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
2.0	05-Jun-2026	إعادة التنسيق
1.0	08-Apr-2026	الإصدار الأولي