Riduci scadenza certificato di avvio protetto Microsoft

Opzioni per il download

  • PDF     (248.2 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (82.6 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (70.1 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:5 giugno 2026
ID documento:225712

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto come limitare l'imminente scadenza dei certificati di avvio protetto per quanto riguarda gli ambienti Cisco UCS.

Premesse

Secure Boot è una funzione di sicurezza di base integrata nell'interfaccia UEFI (Unified Extensible Firmware Interface) dei server e dei PC moderni. Stabilisce una catena di attendibilità durante il processo di avvio garantendo che solo i bootloader software verificati e con firma digitale, i kernel del sistema operativo e i driver UEFI possano essere eseguiti. Questo meccanismo protegge i sistemi da bootkit, rootkit e altre minacce malware di basso livello.

Alla base di Secure Boot vi è un insieme di certificati di crittografia emessi da Microsoft. Questi certificati sono integrati nel firmware UEFI di praticamente tutti i server e i PC forniti nell'ultimo decennio, inclusi i server Cisco UCS (Unified Computing System). Fungono da trust anchor che convalidano la legittimità di un software di avvio.

Microsoft ha annunciato che due certificati critici per l'avvio protetto, Microsoft Windows Production PCA 2011 e Microsoft UEFI CA 2011, scadranno il 19 ottobre 2026. Questa scadenza influisce sull'intero ecosistema hardware e Cisco ha riconosciuto l'impatto sulla propria linea di server UCS con l'ID bug Cisco CSCwr45526.

Problema

Quali certificati sono in scadenza?

I due certificati al centro di questo problema sono:

Certificato Ruolo Data di scadenza
Microsoft Windows Production APC 2011 Firma e convalida i caricatori di avvio di Microsoft Windows 19 ottobre 2026
Microsoft UEFI CA 2011 Firma e convalida i driver UEFI di terze parti, le Option ROM e i bootloader non Windows 19 ottobre 2026


Questi certificati sono archiviati negli archivi chiavi di avvio protetto del firmware UEFI:

  • db (database delle firme): contiene i certificati attendibili utilizzati per verificare i file binari della fase di avvio.
  • KEK (chiave di scambio chiave): autorizza gli aggiornamenti al database delle firme.
  • PK (Platform Key): la radice del trust, in genere di proprietà dell'OEM, ad esempio Cisco.

Perché si tratta di un problema per i server Cisco UCS?

I server Cisco UCS serie B (Blade), serie C (Rack) e serie X (Modulare) vengono forniti con i certificati di avvio protetto di Microsoft 2011 precaricati nel firmware del BIOS UEFI. Quando l'opzione Secure Boot è abilitata, il BIOS utilizza questi certificati ad ogni ciclo di avvio per convalidare:

  • Il bootloader di Windows Server (ad esempio, bootmgfw.efi), firmato da Windows Production PCA 2011.
  • Componenti UEFI di terze parti, quali:
    • Driver UEFI per controller di storage (RAID)
    • ROM di avvio PXE della scheda di rete
    • Altro firmware del dispositivo PCIe caricato durante il POST

Questi componenti sono in genere firmati da Microsoft UEFI CA 2011.

Cosa Succede Se Non Viene Intrapresa Alcuna Azione?

  • Impossibile avviare Windows Server.

  • I driver UEFI e le Option ROM sono rifiutati.

note-icon

Nota: Questi errori non si verificano finché Microsoft non inizia a firmare i caricatori di avvio di Windows con i nuovi certificati.

Cisco ha registrato formalmente il problema con l'ID bug Cisco CSCwr45526.


Questo difetto riconosce che:

  • Il firmware del server UCS contiene i certificati di avvio protetto di Microsoft 2011 in scadenza.
  • È necessario un aggiornamento del firmware per introdurre i certificati sostitutivi (certificati Microsoft 2023) negli archivi chiavi UEFI.
note-icon

Nota:il certificato di avvio protetto non si verifica se il server UCS viene eseguito in modalità di avvio legacy. Analogamente, la modalità UEFI con l'avvio protetto disabilitato rimane invariata.

Soluzione

Applica aggiornamenti del firmware Cisco UCS

Firmware aggiornato per le piattaforme UCS interessate che include i nuovi certificati Microsoft Secure Boot:

Nuovo certificato Sostituisce
Microsoft Windows UEFI CA 2023 Microsoft Windows Production APC 2011
Microsoft UEFI CA 2023 Microsoft UEFI CA 2011

Passaggi azione

  • Monitorare l'ID bug Cisco CSCwr45526 su Cisco Bug Search Tool per verificare le versioni del firmware e le timeline delle versioni corrette.
  • Scaricare e distribuire il firmware aggiornato quando disponibile per la piattaforma UCS specifica (serie B, serie C, serie X).
  • Utilizzare gli strumenti di gestione Cisco per l'aggiornamento del firmware:
    • Cisco Intersight: per gli ambienti gestiti tramite cloud, utilizzare le policy di gestione del firmware Intersight per gestire gli aggiornamenti in modo scalabile.
    • Cisco UCS Manager (UCSM): per server serie B e serie C gestiti dal dominio.
    • Cisco IMC (Integrated Management Controller): per server rack standalone serie C.

Nelle tabelle seguenti è indicata la versione minima del firmware che include la correzione con i certificati aggiornati. Anche nelle versioni successive è indicata la correzione:

Intersight Managed Mode (IMM) - Server

1. Server blade (serie B e X)

Modello server Versione/i firmware
UCS-B200-M5 5.4.0.260011
UCS-B480-M5 5.4.0.260011
UCS-B200-M6 5.4.0.260011, 6.0.2.260040
UCS X-210C-M6 5.4.0.260009, 6.0.2.260040
UCS X-210C-M7 5.4.0.260010, 6.0.2.260040
UCS X-410C-M7 5.4.0.260010, 6.0.2.260040
UCS X-210C-M8 5.4.0.260010, 6.0.2.260040
UCS X-215C-M8 5.4.0.260010, 6.0.2.260040
UCS X-410C-M8 6.0.2.260040

2. Server rack (serie C) integrati in modalità Intersight Managed Mode (IMC)

Versione firmware IMC
IMC-6.0.2.260044
IMC-6.0.2.260043
IMC-6.0.2.260042
IMC-6.0.2.260040
IMC-6.0.2.26026
IMC-5.4.0.260011
IMC-5.4.0.26010
IMC-5.4.0.260009
IMC-4.3.6.26017
IMC-4.3.2.260007

Server rack standalone (serie C) - Utilità di aggiornamento host (HUU)

Modello server Versione/i firmware
UCS-C125 4.3.2.260007
UCS-C220-M5 4.3.2.260007
UCS-C220-M6 4.3.6.260017, 6.0.2.260044
UCS-C220-M7 4.3.6.260017, 6.0.2.260044
UCS-C220-M8 4.3.6.260017, 6.0.2.260044
UCS-C225-M6 4.3.6.260017, 6.0.2.260044
UCS-C225-M8 4.3.6.260017, 6.0.2.260044
UCS-C240-M5 4.3.2.260007
UCS-C240-M6 4.3.6.260017, 6.0.2.260044
UCS-C240-M7 4.3.6.260017, 6.0.2.260044
UCS-C240-M8 4.3.6.260017, 6.0.2.260044
UCS-C245-M6 4.3.6.260017, 6.0.2.260044
UCS-C245-M8 4.3.6.260017, 6.0.2.260044
UCS-C480-M5 4.3.2.260007
UCS-S3260-M5 4.3.6.260017
UCS XE-130C-M8 6.0.2.260042

UCS Manager (UCSM) - Server gestiti

Versione firmware UCSM
4.3 (6 septies) 
6.0(2 ter) 

Per risolvere il problema di scadenza del certificato UEFI, in base al sistema operativo dei server UCS, sono talvolta necessarie ulteriori configurazioni. Cisco consiglia di contattare il relativo fornitore del sistema operativo per ottenere assistenza sulle fasi di risoluzione specifiche.

note-icon

Nota: Gli aggiornamenti del firmware sui soli server UCS non sempre risolvono completamente il problema. Gli aggiornamenti dei certificati a livello di sistema operativo possono essere necessari anche per garantire la continuità della funzionalità di avvio protetto oltre la data di scadenza del certificato UEFI 2026.

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
2.0
05-Jun-2026
Riformattazione
1.0
08-Apr-2026
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

  • Jorge Marquez
    Tecnico di consulenza
  • Jorge Rabib Jimenez Toledo
    Tecnico di consulenza
  • Ricardo Galvan
    Consulenza tecnica Responsabile tecnico progettazione

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti