Mitigar el vencimiento del certificado de arranque seguro de Microsoft
Contenido
Introducción
Este documento describe cómo mitigar la próxima expiración de los certificados de arranque seguro en lo que respecta a los entornos Cisco UCS.
Antecedentes
Secure Boot es una función de seguridad básica integrada en la interfaz de firmware extensible unificada (UEFI) de los servidores y PC modernos. Establece una cadena de confianza durante el proceso de arranque asegurándose de que solo se permite la ejecución de los cargadores de arranque de software, los núcleos del sistema operativo y los controladores UEFI firmados y verificados digitalmente. Este mecanismo protege los sistemas frente a bootkits, rootkits y otras amenazas de malware de bajo nivel.
En el corazón de Secure Boot se encuentra un conjunto de certificados criptográficos emitidos por Microsoft. Estos certificados están incorporados en el firmware UEFI de prácticamente todos los servidores y PC vendidos en la última década, incluidos los servidores Cisco UCS (Unified Computing System). Sirven como anclajes de confianza que validan si un fragmento de software de arranque es legítimo.
Microsoft ha revelado que dos certificados críticos de arranque seguro, Microsoft Windows Production PCA 2011 y Microsoft UEFI CA 2011, expirarán el 19 de octubre de 2026. Este vencimiento afecta a todo el ecosistema de hardware y Cisco ha reconocido el impacto en su cartera de servidores UCS con la identificación de error de Cisco CSCwr45526
Problema
¿Qué certificados vencen?
Los dos certificados que constituyen el núcleo de esta emisión son:
| Certificado | Función | Fecha de vencimiento |
|---|---|---|
| Producción PCA 2011 de Microsoft Windows | Firma y valida los cargadores de arranque de Microsoft Windows | 19 de octubre de 2026 |
| Microsoft UEFI CA 2011 | Firma y valida controladores UEFI de terceros, ROM opcionales y cargadores de inicio que no son de Windows | 19 de octubre de 2026 |
Estos certificados se almacenan en los almacenes de claves de arranque seguro del firmware UEFI:
- db (Signature Database): contiene certificados de confianza utilizados para verificar binarios en tiempo de arranque.
- KEK (clave de intercambio de claves): autoriza las actualizaciones de la base de datos de firmas.
- PK (clave de plataforma): raíz de la confianza, que normalmente pertenece al OEM (por ejemplo, Cisco).
-
¿Por qué esto supone un problema para los servidores Cisco UCS?
Los servidores Cisco UCS, incluidas las plataformas B-Series (Blade), C-Series (Rack) y X-Series (Modular), incluyen certificados de arranque seguro de Microsoft 2011 precargados en el firmware de BIOS de UEFI. Cuando se habilita el arranque seguro, el BIOS utiliza estos certificados en cada ciclo de arranque para validar:
- El cargador de inicio de Windows Server (por ejemplo, bootmgfw.efi), que está firmado por Windows Production PCA 2011.
- Componentes UEFI de terceros, como:
- Controladores de almacenamiento (RAID) Controladores UEFI
- ROM de arranque PXE del adaptador de red
- Otro firmware de dispositivo PCIe cargado durante la POST
Estos componentes suelen estar firmados por Microsoft UEFI CA 2011.
¿Qué Ocurre Si No Se Realiza Ninguna Acción?
-
Windows Server no se puede iniciar
-
Se rechazan los controladores UEFI y las ROM de opciones
Estos errores no se producen hasta que Microsoft comienza a firmar los cargadores de arranque de Windows con nuevos certificados.
Cisco ha realizado un seguimiento formal de este problema en ID de bug de Cisco CSCwr45526 
Este defecto reconoce que:
- El firmware del servidor de UCS contiene los certificados de inicio seguro de Microsoft 2011 que vencerán.
- Se requiere una actualización del firmware para introducir los certificados de sustitución (certificados de Microsoft 2023) en los almacenes de claves UEFI.
Solución
Aplicación de actualizaciones de firmware de Cisco UCS
Firmware actualizado para las plataformas UCS afectadas que incluye los nuevos certificados de arranque seguro de Microsoft:
| Nuevo certificado | Sustituye |
|---|---|
| UEFI CA 2023 de Microsoft Windows | Producción PCA 2011 de Microsoft Windows |
| UEFI CA 2023 de Microsoft | Microsoft UEFI CA 2011 |
Pasos de acción:
- Supervisar ID de bug de Cisco CSCwr45526 en la Herramienta de Búsqueda de Errores de Cisco para versiones fijas de firmware y plazos de lanzamiento.
- Descargue e implemente el firmware actualizado cuando esté disponible para su plataforma UCS específica (serie B, serie C, serie X).
- Utilice las herramientas de administración de Cisco para actualizar el firmware:
- Cisco Intersight: para entornos gestionados en la nube, utilice las políticas de gestión de firmware de Intersight para organizar las actualizaciones a escala.
- Cisco UCS Manager (UCSM): para servidores de la serie B y la serie C gestionados por dominio.
- Cisco IMC (Integrated Management Controller): para servidores en rack de la serie C independientes.
La tabla muestra la versión mínima del firmware que incluye la corrección que contiene los certificados actualizados:
1. Servidores en rack independientes (HUU)
| Modelo de servidor | Versión(s) de firmware |
|---|---|
| UCS C125 | 4.3.2.260007 |
| UCS C220 M5 | 4.3.2.260007 |
| UCS C220 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C220 M7 | 4.3.6.260017, 6.0.2.260044 |
| UCS C220 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C225 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C225 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M5 | 4.3.2.260007 |
| UCS C240 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M7 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C245 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C245 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C480 M5 | 4.3.2.260007 |
| UCS S3260 | 4.3.6.260017 |
| UCS XE130C M8 | 6.0.2.260042 |
2. Servidores en rack conectados a Intersight (IMC)
| Versión del firmware de IMC |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
3. Servidores IMM
| Modelo de servidor | Versión(s) de firmware |
|---|---|
| UCS B200 M5 | 5.4.0.260011 |
| UCS B480 M5 | 5.4.0.260011 |
| UCS B200 M6 | 5.4.0.260011, 6.0.2.260040 |
| UCS 210C M6 | 5.4.0.260009, 6.0.2.260040 |
| UCS 210C M7 | 5.4.0.260010, 6.0.2.260040 |
| UCS 410C M7 | 5.4.0.260010, 6.0.2.260040 |
| UCS 210C M8 | 5.4.0.260010, 6.0.2.260040 |
| UCS 215C M8 | 5.4.0.260010, 6.0.2.260040 |
| UCS 410C M8 | 6.0.2.260040 |
4. Servidores gestionados UCSM
| Versión del firmware de UCSM |
|---|
| 4.3(6f) UCSM |
| 6.0(2 ter) UCSM |
En función del sistema operativo que se ejecute en los servidores UCS, es posible que se requiera una configuración adicional para solucionar el problema de caducidad del certificado UEFI. Cisco recomienda consultar al proveedor del sistema operativo correspondiente para obtener orientación sobre los pasos de remediación específicos del sistema operativo.
Nota: Es posible que las actualizaciones de firmware de los servidores UCS por sí solas no resuelvan por completo el problema. Las actualizaciones de certificados en el nivel del sistema operativo también pueden ser necesarias para garantizar la continuidad de la funcionalidad de arranque seguro después de la fecha de vencimiento del certificado UEFI 2026.
Historial de revisiones
| Revisión | Fecha de publicación | Comentarios |
|---|---|---|
1.0 |
08-Apr-2026
|
Versión inicial |
ComentariosContacte a Cisco
- Abrir un caso de soporte
- (Requiere un Cisco Service Contract)