Microsoft Secure Boot証明書の有効期限の緩和

はじめに

このドキュメントでは、Cisco UCS環境に関係するセキュアブート証明書の期限切れを緩和する方法について説明します。

バックグラウンド情報

セキュアブートは、最新のサーバおよびPCのUnified Extensible Firmware Interface(UEFI)に組み込まれている基本的なセキュリティ機能です。デジタル署名および検証済みのソフトウェアブートローダ、オペレーティングシステムカーネル、およびUEFIドライバのみが実行可能であることを保証することで、ブートプロセス中に信頼のチェーンが確立されます。このメカニズムは、ブートキット、ルートキット、およびその他の低レベルのマルウェア脅威からシステムを保護します。

セキュアブートの中心には、Microsoftによって発行された暗号証明書のセットがあります。これらの証明書は、Cisco UCS(Unified Computing System)サーバを含め、過去10年間に出荷された事実上すべてのサーバおよびPCのUEFIファームウェアに組み込まれています。ブートタイムソフトウェアの一部が正当であるかどうかを検証するトラストアンカーとして機能します。

Microsoftは、2つの重要なセキュアブート証明書、Microsoft Windows Production PCA 2011およびMicrosoft UEFI CA 2011が2026年10月19日で期限切れになる設定であることを公開しました。この期限はハードウェアエコシステム全体に影響を与えます。シスコはUCSサーバポートフォリオへの影響をCisco Bug ID CSCwr45526で確認しています

問題

有効期限が切れる証明書

この問題の中心にある2つの証明書は次のとおりです。

証明書	ロール	有効期限
Microsoft Windows製品PCA 2011	Microsoft Windowsブートローダの署名と検証	2026年10月19日
Microsoft UEFI CA 2011	サードパーティのUEFIドライバ、オプションROM、およびWindows以外のブートローダに署名し、検証します。	2026年10月19日

これらの証明書は、UEFIファームウェアのセキュアブートキーストアに保存されます。

• db（シグニチャデータベース）：ブートタイムバイナリの検証に使用される信頼できる証明書が含まれています。
• KEK(Key Exchange Key)：シグニチャデータベースのアップデートを承認します。
• PK（プラットフォームキー）：通常はOEMが所有する信頼のルート（例：Cisco）。
  
  

• Cisco UCSサーバの問題の理由

  Cisco UCSサーバ：Bシリーズ（ブレード）、Cシリーズ（ラック）、Xシリーズ（モジュラ）プラットフォームを含め、出荷時にUEFI BIOSファームウェアにあらかじめロードされたMicrosoft 2011セキュアブート証明書が搭載されています。セキュアブートを有効にすると、BIOSはブートサイクルごとに次の証明書を使用して検証します。

  • Windows Serverブートローダ（たとえば、bootmgfw.efi）。Windows製品PCA 2011によって署名されています。
  • 次のようなサードパーティ製UEFIコンポーネント:
    • ストレージコントローラ(RAID)UEFIドライバ
    • ネットワークアダプタPXEブートROM
    • その他のPCIeデバイスファームウェアがPOST中にロードされる

  これらのコンポーネントは通常、Microsoft UEFI CA 2011によって署名されています。

  何もアクションを実行しないと、どうなりますか。

  • Windows Serverが起動しない 

  • UEFIドライバとオプションROMは拒否されます 

  これらのエラーは、Microsoftが新しい証明書を使用してWindowsブートローダへの署名を開始するまで発生しません。 

シスコはこの問題を以下のサイトで正式に追跡しました。 Cisco Bug ID CSCwr45526
この不具合では、次の点を確認します。

• UCSサーバファームウェアには、期限が切れるMicrosoft 2011 Secure Boot証明書が含まれています。
• 置換証明書（Microsoft 2023証明書）をUEFIキーストアに導入するには、ファームウェアのアップデートが必要です。

ソリューション

Cisco UCSファームウェアアップデートの適用

新しいMicrosoft Secure Boot証明書を含む、該当するUCSプラットフォームのファームウェアをアップデート。

新しい証明書	交換品
Microsoft Windows UEFI CA 2023	Microsoft Windows製品PCA 2011
Microsoft UEFI CA 2023	Microsoft UEFI CA 2011

アクションの手順：

• モニタCisco Bug ID CSCwr45526 Cisco Bug Search Toolで、修正済みファームウェアバージョンとリリースタイムラインを検索できます。
• 特定のUCSプラットフォーム（Bシリーズ、Cシリーズ、Xシリーズ）で利用可能になった場合は、アップデートされたファームウェアをダウンロードして展開します。
• ファームウェアのアップグレードにシスコの管理ツールを使用:
  • Cisco Intersight：クラウドマネージ型環境では、Intersightファームウェア管理ポリシーを使用して、規模に応じてアップデートを調整します。
  • Cisco UCS Manager(UCSM)：ドメイン管理されたBシリーズおよびCシリーズサーバ向け。
  • Cisco IMC(Integrated Management Controller)：スタンドアロンCシリーズラックサーバ向け。

次の表に、アップデートされた証明書を含む修正を含む、ファームウェアの最小バージョンを示します。

1. スタンドアロンラックサーバ(HUU)

サーバモデル	ファームウェアバージョン
UCS C125	4.3.2.260007
UCS C220 M5	4.3.2.260007
UCS C220 M6	4.3.6.260017, 6.0.2.260044
UCS C220 M7	4.3.6.260017, 6.0.2.260044
UCS C220 M8	4.3.6.260017, 6.0.2.260044
UCS C225 M6	4.3.6.260017, 6.0.2.260044
UCS C225 M8	4.3.6.260017, 6.0.2.260044
UCS C240 M5	4.3.2.260007
UCS C240 M6	4.3.6.260017, 6.0.2.260044
UCS C240 M7	4.3.6.260017, 6.0.2.260044
UCS C240 M8	4.3.6.260017, 6.0.2.260044
UCS C245 M6	4.3.6.260017, 6.0.2.260044
UCS C245 M8	4.3.6.260017, 6.0.2.260044
UCS C480 M5	4.3.2.260007
UCS S3260	4.3.6.260017
UCS XE130C M8	6.0.2.260042

---

2. Intersight(IMC)に接続されたラックサーバ

IMCファームウェアバージョン
IMC -6.0.2.260044
IMC -6.0.2.260043
IMC -6.0.2.260042
IMC -6.0.2.260040
IMC -6.0.2.260026
IMC -5.4.0.260011
IMC -5.4.0.260010
IMC -5.4.0.260009
IMC -4.3.6.260017
IMC -4.3.2.260007

---

3. IMMサーバ

サーバモデル	ファームウェアバージョン
UCS B200 M5	5.4.0.260011
UCS B480 M5	5.4.0.260011
UCS B200 M6	5.4.0.260011, 6.0.2.260040
UCS 210C M6	5.4.0.260009, 6.0.2.260040
UCS 210C M7	5.4.0.260010, 6.0.2.260040
UCS 410C M7	5.4.0.260010, 6.0.2.260040
UCS 210C M8	5.4.0.260010, 6.0.2.260040
UCS 215C M8	5.4.0.260010, 6.0.2.260040
UCS 410C M8	6.0.2.260040

---

4. UCSM管理対象サーバ

UCSMファームウェアバージョン
4.3(6f) UCSM
6.0(2b) UCSM

UCSサーバで実行されているオペレーティングシステムによっては、UEFI証明書の有効期限の問題に対処するために、追加の設定が必要になる場合があります。シスコでは、各OSベンダーに問い合わせて、OS固有の修復手順に関するガイダンスを得ることを推奨しています。

更新履歴

改定	発行日	コメント
1.0	08-Apr-2026	初版