Microsoft Secure Boot-Zertifikatablauf minimieren
Inhalt
Einleitung
In diesem Dokument wird beschrieben, wie Sie das bevorstehende Ablaufdatum von Secure Boot-Zertifikaten für Cisco UCS-Umgebungen eindämmen können.
Hintergrundinformationen
Secure Boot ist eine grundlegende Sicherheitsfunktion, die in das Unified Extensible Firmware Interface (UEFI) moderner Server und PCs integriert ist. Es stellt eine Vertrauenskette während des Bootvorgangs her, indem sichergestellt wird, dass nur digital signierte und verifizierte Software-Bootloader, Betriebssystem-Kernel und UEFI-Treiber ausgeführt werden dürfen. Dieser Mechanismus schützt Systeme vor Bootkits, Rootkits und anderen Malware-Bedrohungen auf niedriger Ebene.
Das Kernstück von Secure Boot ist eine Reihe von kryptografischen Zertifikaten von Microsoft. Diese Zertifikate sind in die UEFI-Firmware praktisch aller in den letzten zehn Jahren ausgelieferten Server und PCs eingebettet, einschließlich der Cisco UCS (Unified Computing System) Server. Sie dienen als Vertrauensanker, der überprüft, ob eine Boot-Zeit-Software zulässig ist.
Microsoft hat nun bekannt gegeben, dass zwei kritische Secure Boot-Zertifikate, das Microsoft Windows Production PCA 2011 und die Microsoft UEFI CA 2011, am 19. Oktober 2026 ablaufen werden. Dieser Ablauf betrifft das gesamte Hardware-Ökosystem, und Cisco hat die Auswirkungen auf sein UCS-Serverportfolio unter der Cisco Bug-ID CSCwr45526 anerkannt.
Problem
Welche Zertifikate laufen ab?
Die beiden Zertifikate, die im Mittelpunkt dieser Ausgabe stehen, sind:
| Zertifikat | Rolle | Ablaufdatum |
|---|---|---|
| Microsoft Windows-Produktions-PCA 2011 | Signiert und validiert Microsoft Windows-Bootloader | 19. Oktober 2026 |
| Microsoft UEFI CA 2011 | Signiert und validiert UEFI-Treiber von Drittanbietern, Options-ROMs und Bootloader, die nicht von Windows stammen | 19. Oktober 2026 |
Diese Zertifikate werden in den Secure Boot Key-Speichern der UEFI-Firmware gespeichert:
- db (Signaturdatenbank) — Enthält vertrauenswürdige Zertifikate, die zum Überprüfen von Bootzeitbinärdateien verwendet werden.
- KEK (Key Exchange Key) - Autorisiert Updates für die Signaturdatenbank.
- PK (Platform Key) - Die Vertrauensbasis, die normalerweise dem OEM (z. B. Cisco) gehört.
-
Welche Vorteile bieten Cisco UCS-Server?
Cisco UCS-Server - einschließlich Plattformen der B-Serie (Blade), C-Serie (Rack) und X-Serie (Modular) - werden mit Microsoft 2011 Secure Boot-Zertifikaten ausgeliefert, die in der UEFI BIOS-Firmware vorinstalliert sind. Wenn "Sicheres Booten" aktiviert ist, verwendet das BIOS diese Zertifikate bei jedem Bootvorgang, um Folgendes zu überprüfen:
- Der Windows Server-Bootloader (z. B. bootmgfw.efi), der vom Windows-Produktions-PCA 2011 signiert wird.
- UEFI-Komponenten von Drittanbietern, wie:
- Storage Controller (RAID) UEFI-Treiber
- Netzwerkadapter PXE-Boot-ROMs
- Andere Firmware für PCIe-Geräte, die während des POST-Tests geladen werden
Diese Komponenten werden normalerweise von der Microsoft UEFI CA 2011 signiert.
Was geschieht, wenn keine Maßnahmen ergriffen werden?
-
Windows Server startet nicht
-
UEFI-Treiber und Options-ROMs werden abgelehnt
Diese Fehler treten erst auf, wenn Microsoft beginnt, Windows-Bootloader mit neuen Zertifikaten zu signieren.
Cisco hat dieses Problem offiziell unter Cisco Bug-ID CSCwr45526 
Dieser Mangel bestätigt Folgendes:
- Die UCS-Server-Firmware enthält die ablaufenden Microsoft 2011 Secure Boot-Zertifikate.
- Um die Ersatzzertifikate (Microsoft 2023-Zertifikate) in die UEFI-Schlüsselspeicher einzuführen, ist ein Firmware-Update erforderlich.
Lösung
Anwenden von Cisco UCS-Firmware-Updates
Aktualisierte Firmware für betroffene UCS-Plattformen, die die neuen Microsoft Secure Boot-Zertifikate enthält:
| Neues Zertifikat | Ersetzt |
|---|---|
| Microsoft Windows UEFI CA 2023 | Microsoft Windows-Produktions-PCA 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
Aktionsschritte:
- Cisco Bug-ID überwachen CSCwr45526 im Cisco Bug Search Tool nach festen Firmware-Versionen und Veröffentlichungszeitplänen.
- Laden Sie die aktualisierte Firmware herunter, und stellen Sie sie bereit, wenn diese für Ihre spezifische UCS-Plattform (B-Serie, C-Serie, X-Serie) verfügbar ist.
- Verwenden Sie Cisco Management-Tools für Firmware-Upgrades:
- Cisco Intersight - Verwenden Sie für Cloud-basierte Umgebungen Intersight-Firmware-Management-Richtlinien, um Updates skalierbar zu orchestrieren.
- Cisco UCS Manager (UCSM) - Für Server der B- und C-Serie, die von einer Domäne verwaltet werden.
- Cisco IMC (Integrated Management Controller) - Für eigenständige Rack-Server der C-Serie.
Die Tabelle zeigt die minimale Firmware-Version, die den Fix mit den aktualisierten Zertifikaten enthält:
1. Standalone-Rack-Server (HUU)
| Servermodell | Firmware-Version(en) |
|---|---|
| UCS C125 | 4.3.2.260007 |
| UCS C220 M5 | 4.3.2.260007 |
| UCS C220 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C220 M7 | 4.3.6.260017, 6.0.2.260044 |
| UCS C220 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C225 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C225 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M5 | 4.3.2.260007 |
| UCS C240 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M7 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C245 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C245 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C480 M5 | 4.3.2.260007 |
| UCS S 3260 | 4.3.6.260017 |
| UCS XE130C M8 | 6.0.2.260042 |
2. Mit Intersight (IMC) verbundene Rack-Server
| IMC-Firmwareversion |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
3. IMM-Server
| Servermodell | Firmware-Version(en) |
|---|---|
| UCS B200 M5 | 5.4.0.260011 |
| UCS B480 M5 | 5.4.0.260011 |
| UCS B200 M6 | 5.4.0.260011, 6.0.2.260040 |
| UCS 210C M6 | 5.4.0.260009, 6.0.2.260040 |
| UCS 210C M7 | 5.4.0.260010, 6.0.2.260040 |
| UCS 410C M7 | 5.4.0.260010, 6.0.2.260040 |
| UCS 210C M8 | 5.4.0.260010, 6.0.2.260040 |
| UCS 215C M8 | 5.4.0.260010, 6.0.2.260040 |
| UCS 410C M8 | 6.0.2.260040 |
4. Von UCSM verwaltete Server
| UCSM-Firmwareversion |
|---|
| 4.3(6f) UCSM |
| 6.0(2b) UCSM |
Je nach Betriebssystem, das auf den UCS-Servern ausgeführt wird, ist möglicherweise eine zusätzliche Konfiguration erforderlich, um das Problem des Ablaufs des UEFI-Zertifikats zu beheben. Cisco empfiehlt, den jeweiligen Betriebssystemlieferanten zu Rate zu ziehen, um Hinweise zu betriebssystemspezifischen Sanierungsschritten zu erhalten.
Anmerkung: Firmware-Updates auf UCS-Servern allein lösen das Problem möglicherweise nicht vollständig. Zertifikats-Updates auf Betriebssystemebene können ebenfalls erforderlich sein, um sicherzustellen, dass Secure Boot auch nach Ablauf des UEFI-Zertifikats von 2026 funktioniert.
Revisionsverlauf
| Überarbeitung | Veröffentlichungsdatum | Kommentare |
|---|---|---|
1.0 |
08-Apr-2026
|
Erstveröffentlichung |
FeedbackCisco kontaktieren
- Eine Supportanfrage öffnen
- (Erfordert einen Cisco Servicevertrag)