Riduci scadenza certificato di avvio protetto Microsoft

Opzioni per il download

  • PDF     (248.1 KB)
    Visualizza con Adobe Reader su diversi dispositivi
Aggiornato:8 aprile 2026
ID documento:225712

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come limitare l'imminente scadenza dei certificati di avvio protetto per quanto riguarda gli ambienti Cisco UCS.

Premesse

Secure Boot è una funzione di sicurezza di base integrata nell'interfaccia UEFI (Unified Extensible Firmware Interface) dei server e dei PC moderni. Stabilisce una catena di attendibilità durante il processo di avvio garantendo che solo i bootloader software verificati e con firma digitale, i kernel del sistema operativo e i driver UEFI possano essere eseguiti. Questo meccanismo protegge i sistemi da bootkit, rootkit e altre minacce malware di basso livello.

Alla base di Secure Boot vi è un insieme di certificati crittografici emessi da Microsoft. Questi certificati sono integrati nel firmware UEFI di praticamente tutti i server e i PC forniti nell'ultimo decennio, inclusi i server Cisco UCS (Unified Computing System). Fungono da trust anchor che convalidano la legittimità di un software di avvio.

Microsoft ha ora annunciato che due certificati critici per l'avvio protetto, Microsoft Windows Production PCA 2011 e Microsoft UEFI CA 2011 sono destinati a scadere il 19 ottobre 2026. Questa scadenza influisce sull'intero ecosistema hardware e Cisco ha riconosciuto l'impatto sul proprio portafoglio di server UCS con l'ID bug Cisco CSCwr45526

Problema

Quali certificati sono in scadenza?

I due certificati al centro di questo problema sono:

Certificato Ruolo Data di scadenza
Microsoft Windows Production APC 2011 Firma e convalida i caricatori di avvio di Microsoft Windows 19 ottobre 2026
Microsoft UEFI CA 2011 Firma e convalida i driver UEFI di terze parti, le Option ROM e i bootloader non Windows 19 ottobre 2026


Questi certificati sono archiviati negli archivi chiavi di avvio protetto del firmware UEFI:

  • db (database delle firme): contiene i certificati attendibili utilizzati per verificare i file binari della fase di avvio.
  • KEK (chiave di scambio chiave): autorizza gli aggiornamenti al database delle firme.
  • PK (Platform Key): la radice del trust, in genere di proprietà dell'OEM, ad esempio Cisco.

  • Perché si tratta di un problema per i server Cisco UCS?

    I server Cisco UCS, incluse le piattaforme serie B (Blade), serie C (Rack) e serie X (Modulare), sono forniti con i certificati di avvio protetto di Microsoft 2011 precaricati nel firmware del BIOS UEFI. Quando l'opzione Secure Boot è abilitata, il BIOS utilizza questi certificati ad ogni ciclo di avvio per convalidare:

    • Il bootloader di Windows Server (ad esempio, bootmgfw.efi), firmato da Windows Production PCA 2011.
    • Componenti UEFI di terze parti, ad esempio:
      • Driver UEFI per controller di storage (RAID)
      • ROM di avvio PXE della scheda di rete
      • Altro firmware del dispositivo PCIe caricato durante il POST

    Questi componenti sono in genere firmati da Microsoft UEFI CA 2011.

    Cosa Succede Se Non Viene Intrapresa Alcuna Azione?

    • Impossibile avviare Windows Server 

    • I driver UEFI e le Option ROM sono rifiutati 

    Questi errori non si verificano finché Microsoft non inizia a firmare i caricatori di avvio di Windows con i nuovi certificati. 

Cisco ha registrato formalmente questo problema in ID bug Cisco CSCwr4526
Questo difetto riconosce che:

  • Il firmware del server UCS contiene i certificati di avvio protetto di Microsoft 2011 in scadenza.
  • È necessario un aggiornamento del firmware per introdurre i certificati sostitutivi (certificati Microsoft 2023) negli archivi chiavi UEFI.

Soluzione

Applica aggiornamenti del firmware Cisco UCS

Firmware aggiornato per le piattaforme UCS interessate che include i nuovi certificati Microsoft Secure Boot:

Nuovo certificato Sostituisce
Microsoft Windows UEFI CA 2023 Microsoft Windows Production APC 2011
Microsoft UEFI CA 2023 Microsoft UEFI CA 2011

Passaggi azione:

  • Monitoraggio ID bug Cisco CSCwr4526 su Cisco Bug Search Tool per le versioni del firmware e le timeline delle versioni fisse.
  • Scaricare e distribuire il firmware aggiornato quando disponibile per la piattaforma UCS specifica (serie B, serie C, serie X).
  • Utilizzare gli strumenti di gestione Cisco per l'aggiornamento del firmware:
    • Cisco Intersight: per gli ambienti gestiti tramite cloud, utilizzare le policy di gestione del firmware Intersight per gestire gli aggiornamenti in modo scalabile.
    • Cisco UCS Manager (UCSM): per server serie B e serie C gestiti dal dominio.
    • Cisco IMC (Integrated Management Controller): per server rack standalone serie C.

Nella tabella viene mostrata la versione firmware minima che include la correzione contenente i certificati aggiornati:

1. Server rack standalone (HUU)

Modello server Versione/i firmware
UCS C125 4.3.2.260007
UCS C220 M5 4.3.2.260007
UCS C220 M6 4.3.6.260017, 6.0.2.260044
UCS C220 M7 4.3.6.260017, 6.0.2.260044
UCS C220 M8 4.3.6.260017, 6.0.2.260044
UCS C225 M6 4.3.6.260017, 6.0.2.260044
UCS C225 M8 4.3.6.260017, 6.0.2.260044
UCS C240 M5 4.3.2.260007
UCS C240 M6 4.3.6.260017, 6.0.2.260044
UCS C240 M7 4.3.6.260017, 6.0.2.260044
UCS C240 M8 4.3.6.260017, 6.0.2.260044
UCS C245 M6 4.3.6.260017, 6.0.2.260044
UCS C245 M8 4.3.6.260017, 6.0.2.260044
UCS C480 M5 4.3.2.260007
UCS S3260 4.3.6.260017
UCS XE130C M8 6.0.2.260042

2. Server rack collegati a Intersight (IMC)

Versione firmware IMC
IMC-6.0.2.260044
IMC-6.0.2.260043
IMC-6.0.2.260042
IMC-6.0.2.260040
IMC-6.0.2.26026
IMC-5.4.0.260011
IMC-5.4.0.26010
IMC-5.4.0.260009
IMC-4.3.6.26017
IMC-4.3.2.260007

3. Server IMM

Modello server Versione/i firmware
UCS B200 M5 5.4.0.260011
UCS B480 M5 5.4.0.260011
UCS B200 M6 5.4.0.260011, 6.0.2.260040
UCS 210C M6 5.4.0.260009, 6.0.2.260040
UCS 210C M7 5.4.0.260010, 6.0.2.260040
UCS 410C M7 5.4.0.260010, 6.0.2.260040
UCS 210C M8 5.4.0.260010, 6.0.2.260040
UCS 215C M8 5.4.0.260010, 6.0.2.260040
UCS 410C M8 6.0.2.260040

4. Server gestiti UCSM

Versione firmware UCSM
4.3(6f) UCSM
6.0(2b) UCSM

A seconda del sistema operativo in esecuzione sui server UCS, potrebbe essere necessaria una configurazione aggiuntiva per risolvere il problema di scadenza del certificato UEFI. Cisco consiglia di consultare il fornitore del sistema operativo in questione per indicazioni su eventuali procedure di correzione specifiche del sistema operativo.

note-icon

Nota: Gli aggiornamenti del firmware sui soli server UCS potrebbero non risolvere completamente il problema. Gli aggiornamenti dei certificati a livello di sistema operativo possono inoltre essere necessari per garantire la continuità della funzionalità di avvio protetto oltre la data di scadenza del certificato UEFI 2026.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
08-Apr-2026
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Jorge Marquez
    Tecnico di consulenza
  • Jorge Rabib Jimenez Toledo
    Tecnico di consulenza

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti