Microsoft Secure Boot証明書の有効期限の緩和

はじめに

このドキュメントでは、Cisco UCS環境に関係するセキュアブート証明書の期限切れを緩和する方法について説明します。

バックグラウンド情報

セキュアブートは、最新のサーバおよびPCのUnified Extensible Firmware Interface(UEFI)に組み込まれている基本的なセキュリティ機能です。デジタル署名および検証済みのソフトウェアブートローダ、オペレーティングシステムカーネル、およびUEFIドライバのみが実行可能であることを保証することで、ブートプロセス中に信頼のチェーンが確立されます。このメカニズムは、ブートキット、ルートキット、およびその他の低レベルのマルウェア脅威からシステムを保護します。

セキュアブートの中心には、Microsoftによって発行された暗号証明書のセットがあります。これらの証明書は、Cisco UCS(Unified Computing System)サーバを含め、過去10年間に出荷されたほぼすべてのサーバおよびPCのUEFIファームウェアに組み込まれています。ブートタイムソフトウェアの一部が正当であるかどうかを検証するトラストアンカーとして機能します。

Microsoftは、Microsoft Windows Production PCA 2011とMicrosoft UEFI CA 2011の2つの重要なセキュアブート証明書が2026年10月19日に期限切れになることを明らかにしました。この期限はハードウェアエコシステム全体に影響を与えます。シスコはCisco Bug ID CSCwr45526でUCSサーバポートフォリオへの影響を確認しています。

問題

有効期限が切れる証明書

この問題の中心にある2つの証明書は次のとおりです。

証明書	ロール	有効期限
Microsoft Windows製品PCA 2011	Microsoft Windowsブートローダの署名と検証	2026年10月19日
Microsoft UEFI CA 2011	サードパーティのUEFIドライバ、オプションROM、およびWindows以外のブートローダに署名し、検証します。	2026年10月19日

これらの証明書は、UEFIファームウェアのセキュアブートキーストアに保存されます。

• db（シグニチャデータベース）：ブートタイムバイナリの検証に使用される信頼できる証明書が含まれています。
• KEK(Key Exchange Key)：シグニチャデータベースのアップデートを承認します。
• PK（プラットフォームキー）：通常はOEMが所有する信頼のルート（例：Cisco）。
  

Cisco UCSサーバの問題の理由

Cisco UCSサーバのBシリーズ（ブレード）、Cシリーズ（ラック）、およびXシリーズ（モジュラ）プラットフォームは、UEFI BIOSファームウェアにあらかじめロードされたMicrosoft 2011セキュアブート証明書とともに出荷されます。セキュアブートを有効にすると、BIOSはブートサイクルごとに次の証明書を使用して検証します。

• Windows Serverブートローダ（たとえば、bootmgfw.efi）。Windows実稼働PCA 2011によって署名されています。
• サードパーティのUEFIコンポーネント：
  • ストレージコントローラ(RAID)UEFIドライバ
  • ネットワークアダプタPXEブートROM
  • その他のPCIeデバイスファームウェアがPOST中にロードされる

これらのコンポーネントは通常、Microsoft UEFI CA 2011によって署名されています。

何もアクションを実行しないと、どうなりますか。

• Windows Serverの起動に失敗します。

• UEFIドライバとオプションROMは拒否されます。

シスコは、Cisco Bug ID CSCwr45526でこの問題を正式に追跡しました。

この不具合では、次の点を確認します。

• UCSサーバファームウェアには、期限が切れるMicrosoft 2011 Secure Boot証明書が含まれています。
• 交換用の証明書（Microsoft 2023証明書）をUEFIキーストアに導入するには、ファームウェアのアップデートが必要です。

ソリューション

Cisco UCSファームウェアアップデートの適用

新しいMicrosoft Secure Boot証明書を含む、該当するUCSプラットフォームのファームウェアをアップデート。

新しい証明書	交換品
Microsoft Windows UEFI CA 2023	Microsoft Windows製品PCA 2011
Microsoft UEFI CA 2023	Microsoft UEFI CA 2011

アクションステップ

• Cisco Bug Search ToolでCisco Bug ID CSCwr45526（登録ユーザ専用）を監視し、修正済みのファームウェアバージョンとリリースタイムラインを確認します。
• 特定のUCSプラットフォーム（Bシリーズ、Cシリーズ、Xシリーズ）で利用可能になった場合は、アップデートされたファームウェアをダウンロードして展開します。
• ファームウェアのアップグレードにシスコの管理ツールを使用:
  • Cisco Intersight：クラウドマネージ型環境では、Intersightファームウェア管理ポリシーを使用して、規模に応じてアップデートを調整します。
  • Cisco UCS Manager(UCSM)：ドメイン管理されたBシリーズおよびCシリーズサーバ向け。
  • Cisco IMC(Integrated Management Controller)：スタンドアロンCシリーズラックサーバ向け。

次の表には、アップデートされた証明書に関する修正を含む最低限のファームウェアバージョンが記載されています。上位のバージョンには修正も含まれています。

Intersightマネージドモード(IMM) – サーバ

1. ブレードサーバ（BシリーズおよびXシリーズ）

サーバモデル	ファームウェアバージョン
UCSB-B200-M5	5.4.0.260011
UCSB-B480-M5	5.4.0.260011
UCSB-B200-M6	5.4.0.260011, 6.0.2.260040
UCSX-210C-M6	5.4.0.260009, 6.0.2.260040
UCSX-210C-M7	5.4.0.260010, 6.0.2.260040
UCSX-410C-M7	5.4.0.260010, 6.0.2.260040
UCSX-210C-M8	5.4.0.260010, 6.0.2.260040
UCSX-215C-M8	5.4.0.260010, 6.0.2.260040
UCSX-410C-M8	6.0.2.260040

2. Intersightマネージドモード(IMC)に統合されたラックサーバ（Cシリーズ）

IMCファームウェアバージョン
IMC -6.0.2.260044
IMC -6.0.2.260043
IMC -6.0.2.260042
IMC -6.0.2.260040
IMC -6.0.2.260026
IMC -5.4.0.260011
IMC -5.4.0.260010
IMC -5.4.0.260009
IMC -4.3.6.260017
IMC -4.3.2.260007

スタンドアロンラックサーバ（Cシリーズ）:Host Upgrade Utility(HUU)

サーバモデル	ファームウェアバージョン
UCSC-C125	4.3.2.260007
UCSC-C220-M5	4.3.2.260007
UCSC-C220-M6	4.3.6.260017, 6.0.2.260044
UCSC-C220-M7	4.3.6.260017, 6.0.2.260044
UCSC-C220-M8	4.3.6.260017, 6.0.2.260044
UCSC-C225-M6	4.3.6.260017, 6.0.2.260044
UCSC-C225-M8	4.3.6.260017, 6.0.2.260044
UCSC-C240-M5	4.3.2.260007
UCSC-C240-M6	4.3.6.260017, 6.0.2.260044
UCSC-C240-M7	4.3.6.260017, 6.0.2.260044
UCSC-C240-M8	4.3.6.260017, 6.0.2.260044
UCSC-C245-M6	4.3.6.260017, 6.0.2.260044
UCSC-C245-M8	4.3.6.260017, 6.0.2.260044
UCSC-C480-M5	4.3.2.260007
UCS-S3260-M5	4.3.6.260017
UCSXE-130C-M8	6.0.2.260042

UCS Manager(UCSM) – マネージドサーバ

UCSMファームウェアバージョン
4.3(6f)
6.0(2b)

UCSサーバのオペレーティングシステムに応じて、UEFI証明書の有効期限の問題を解決するために、追加の設定が必要になる場合があります。具体的な修復手順については、それぞれのOSベンダーにお問い合わせください。

更新履歴

改定	発行日	コメント
2.0	05-Jun-2026	再フォーマット
1.0	08-Apr-2026	初版