Atténuer l'expiration du certificat Microsoft Secure Boot
Table des matières
Introduction
Ce document décrit comment limiter l'expiration prochaine des certificats d'amorçage sécurisés en ce qui concerne les environnements Cisco UCS.
Informations générales
Secure Boot est une fonction de sécurité fondamentale intégrée à l'interface UEFI (Unified Extensible Firmware Interface) des serveurs et des PC modernes. Il établit une chaîne de confiance pendant le processus de démarrage en s'assurant que seuls les chargeurs de démarrage de logiciels, les noyaux de système d'exploitation et les pilotes UEFI signés et vérifiés numériquement sont autorisés à s'exécuter. Ce mécanisme protège les systèmes contre les bootkits, les rootkits et d'autres programmes malveillants de bas niveau.
Au coeur du démarrage sécurisé se trouve un ensemble de certificats cryptographiques émis par Microsoft. Ces certificats sont intégrés dans le micrologiciel UEFI de pratiquement tous les serveurs et ordinateurs livrés au cours de la dernière décennie, y compris les serveurs Cisco UCS (Unified Computing System). Ils servent d'ancres de confiance qui valident la légitimité d'un logiciel d'amorçage.
Microsoft a maintenant révélé que deux certificats d'amorçage sécurisé critiques, le Microsoft Windows Production PCA 2011 et le Microsoft UEFI CA 2011 sont sur le point d'expirer le 19 octobre 2026. Cette expiration affecte l'ensemble de l'écosystème matériel et Cisco a reconnu l'impact sur sa gamme de serveurs UCS sous l'ID de bogue Cisco CSCwr45526
Problème
Quels certificats arrivent à expiration ?
Les deux certificats qui sont au centre de ce problème sont :
| Certificat | Rôle | Date d'expiration |
|---|---|---|
| Microsoft Windows Production PCA 2011 | Signe et valide les chargeurs de démarrage Microsoft Windows | 19 octobre 2026 |
| Microsoft UEFI CA 2011 | Signe et valide les pilotes UEFI tiers, les ROM optionnelles et les chargeurs de démarrage non Windows | 19 octobre 2026 |
Ces certificats sont stockés dans les magasins de clés de démarrage sécurisé du microprogramme UEFI :
- db (Signature Database) — Contient des certificats de confiance utilisés pour vérifier les binaires de démarrage.
- KEK (Key Exchange Key) : autorise les mises à jour de la base de données de signatures.
- PK (Platform Key) : racine de confiance, généralement détenue par le fabricant OEM (par exemple, Cisco).
-
Pourquoi ce problème se pose-t-il pour les serveurs Cisco UCS ?
Les serveurs Cisco UCS, y compris les plates-formes B (lame), C (rack) et X (modulaire), sont livrés avec les certificats Microsoft 2011 Secure Boot préchargés dans leur microprogramme BIOS UEFI. Lorsque le démarrage sécurisé est activé, le BIOS utilise ces certificats à chaque cycle de démarrage pour valider :
- Le chargeur de démarrage Windows Server (par exemple, bootmgfw.efi), qui est signé par l'outil Windows Production PCA 2011.
- Composants UEFI tiers, tels que :
- Pilotes UEFI du contrôleur de stockage (RAID)
- Mémoires ROM de démarrage PXE de la carte réseau
- Autre microprogramme de périphérique PCIe chargé pendant le POST
Ces composants sont généralement signés par la certification Microsoft UEFI CA 2011.
Que Se Passe-T-Il Si Aucune Action N'Est Entreprise ?
-
Échec du démarrage de Windows Server
-
Les pilotes UEFI et les ROM optionnelles sont rejetés
Ces échecs ne se produisent pas tant que Microsoft ne commence pas à signer les chargeurs de démarrage Windows avec de nouveaux certificats.
Cisco a officiellement suivi ce problème sous ID de bogue Cisco CSCwr45526 
Ce défaut reconnaît que :
- Le microprogramme du serveur UCS contient les certificats de démarrage sécurisé Microsoft 2011 qui arrivent à expiration.
- Une mise à jour du micrologiciel est nécessaire pour introduire les certificats de remplacement (certificats Microsoft 2023) dans les magasins de clés UEFI.
Solution
Application des mises à jour du micrologiciel Cisco UCS
Mise à jour du micrologiciel pour les plates-formes UCS affectées, qui inclut les nouveaux certificats Microsoft Secure Boot :
| Nouveau certificat | Remplace |
|---|---|
| Microsoft Windows UEFI CA 2023 | Microsoft Windows Production PCA 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
Étapes d'action :
- Surveillance du bogue Cisco ID CSCwr45526 sur l'outil de recherche de bogues Cisco pour les versions de microprogramme fixes et les calendriers de publication.
- Téléchargez et déployez le micrologiciel mis à jour, le cas échéant, pour votre plate-forme UCS spécifique (série B, série C, série X).
- Utiliser les outils de gestion Cisco pour la mise à niveau du micrologiciel :
- Cisco Intersight : pour les environnements gérés dans le cloud, utilisez les politiques de gestion du micrologiciel Intersight pour orchestrer les mises à jour à grande échelle.
- Cisco UCS Manager (UCSM) : pour les serveurs gérés par domaine série B et série C.
- Cisco IMC (Integrated Management Controller) : pour les serveurs rack autonomes série C.
Le tableau ci-dessous indique la version minimale du micrologiciel qui inclut le correctif contenant les certificats mis à jour :
1. Serveurs rack autonomes (HUU)
| Modèle de serveur | Version(s) du micrologiciel |
|---|---|
| UCS C125 | 4.3.2.260007 |
| UCS C220 M5 | 4.3.2.260007 |
| UCS C220 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C220 M7 | 4.3.6.260017, 6.0.2.260044 |
| UCS C220 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C225 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C225 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M5 | 4.3.2.260007 |
| UCS C240 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M7 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C245 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C245 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C480 M5 | 4.3.2.260007 |
| UCS S3260 | 4.3.6.260017 |
| UCS XE130C M8 | 6.0.2.260042 |
2. Serveurs en rack connectés à Intersight (IMC)
| Version du micrologiciel IMC |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
3. Serveurs IMM
| Modèle de serveur | Version(s) du micrologiciel |
|---|---|
| UCS B200 M5 | 5.4.0.260011 |
| UCS B480 M5 | 5.4.0.260011 |
| UCS B200 M6 | 5.4.0.260011, 6.0.2.260040 |
| UCS 210C M6 | 5.4.0.260009, 6.0.2.260040 |
| UCS 210C M7 | 5.4.0.260010, 6.0.2.260040 |
| UCS 410C M7 | 5.4.0.260010, 6.0.2.260040 |
| UCS 210C M8 | 5.4.0.260010, 6.0.2.260040 |
| UCS 215C M8 | 5.4.0.260010, 6.0.2.260040 |
| UCS 410C M8 | 6.0.2.260040 |
4. Serveurs gérés UCSM
| Version du microprogramme UCSM |
|---|
| 4.3(6f) UCSM |
| 6.0(2b) UCSM |
Selon le système d'exploitation exécuté sur les serveurs UCS, une configuration supplémentaire peut être nécessaire pour résoudre le problème d'expiration du certificat UEFI. Cisco recommande de consulter le fournisseur du système d'exploitation concerné pour obtenir des conseils sur les étapes de correction spécifiques au système d'exploitation.
Remarque : Les mises à jour du micrologiciel sur les serveurs UCS seuls peuvent ne pas résoudre entièrement le problème. Des mises à jour du certificat au niveau du système d'exploitation peuvent également être nécessaires pour garantir la continuité de la fonctionnalité Secure Boot au-delà de la date d'expiration du certificat UEFI 2026.
Historique de révision
| Révision | Date de publication | Commentaires |
|---|---|---|
1.0 |
08-Apr-2026
|
Première publication |
CommentairesContacter Cisco
- Ouvrir un dossier d’assistance
- (Un contrat de service de Cisco est requis)