Microsoft 보안 부팅 인증서 만료 완화

소개

이 문서에서는 Cisco UCS 환경과 관련된 보안 부팅 인증서의 만료를 줄이는 방법에 대해 설명합니다.

배경 정보

보안 부팅은 최신 서버 및 PC의 UEFI(Unified Extensible Firmware Interface)에 내장된 기본 보안 기능입니다. 디지털 서명 및 확인된 소프트웨어 부트로더, 운영 체제 커널, UEFI 드라이버만 실행할 수 있도록 보장하여 부팅 프로세스 중에 신뢰 체인을 설정합니다. 이 메커니즘은 부트킷, 루트킷 및 기타 하위 레벨 악성코드 위협으로부터 시스템을 보호합니다.

보안 부팅의 중심에는 Microsoft에서 발급한 암호화 인증서 집합이 있습니다. 이러한 인증서는 Cisco UCS(Unified Computing System) 서버를 비롯하여 지난 10년 동안 출하된 거의 모든 서버 및 PC의 UEFI 펌웨어에 내장됩니다. 이들은 부트 시간 소프트웨어의 일부가 합법적인지 여부를 검증하는 트러스트 앵커 역할을 합니다.

Microsoft는 이제 두 가지 중요한 보안 부팅 인증서인 Microsoft Windows Production PCA 2011과 Microsoft UEFI CA 2011이 2026년 10월 19일에 만료될 것이라고 밝혔습니다. 이 만료는 전체 하드웨어 에코시스템에 영향을 미치며, Cisco는 Cisco 버그 ID CSCwr에 따라 UCS 서버 포트폴리오에 미치는 영향을 인정했습니다45526

문제

어떤 인증서가 만료됩니까?

이 문제의 중심에 있는 두 인증서는 다음과 같습니다.

인증서	역할	만료 날짜
Microsoft Windows 프로덕션 PCA 2011	Microsoft Windows 부트로더 서명 및 유효성 검사	2026년 10월 19일
Microsoft UEFI CA 2011	타사 UEFI 드라이버, 옵션 ROM 및 비 Windows 부트로더 서명 및 검증	2026년 10월 19일

이러한 인증서는 UEFI 펌웨어 보안 부팅 키 저장소에 저장됩니다.

• db(시그니처 데이터베이스) — 부트 시간 이진 파일을 확인하는 데 사용되는 신뢰할 수 있는 인증서를 포함합니다.
• KEK(키 교환 키) — 서명 데이터베이스에 대한 업데이트를 승인합니다.
• PK(Platform Key) — 일반적으로 OEM(예: Cisco)이 소유하는 신뢰의 루트입니다.
  
  

• Cisco UCS Server에서 이 문제가 발생하는 이유는 무엇입니까?

  B-Series(Blade), C-Series(Rack), X-Series(Modular) 플랫폼을 포함하는 Cisco UCS 서버는 UEFI BIOS 펌웨어에 사전 로드된 Microsoft 2011 Secure Boot 인증서와 함께 제공됩니다. 보안 부팅이 활성화되면 BIOS는 부팅 주기마다 다음 인증서를 사용하여 다음을 검증합니다.

  • Windows Production PCA 2011에서 서명된 Windows Server 부트로더(예: bootmgfw.efi).
  • 서드파티 UEFI 구성 요소:
    • 스토리지 컨트롤러(RAID) UEFI 드라이버
    • 네트워크 어댑터 PXE 부팅 ROM
    • POST 중에 로드된 기타 PCIe 디바이스 펌웨어

  이러한 구성 요소는 일반적으로 Microsoft UEFI CA 2011에서 서명합니다.

  아무 조치도 취해지지 않으면 어떻게 됩니까?

  • Windows Server 부팅 실패 

  • UEFI 드라이버 및 옵션 ROM이 거부됨 

  이러한 오류는 Microsoft에서 새 인증서로 Windows 부트로더에 서명을 시작할 때까지 발생하지 않습니다. 

Cisco는 공식적으로 Cisco 버그 ID CSCwr45526
이 결함은 다음을 인정합니다.

• UCS 서버 펌웨어에 만료되는 Microsoft 2011 Secure Boot 인증서가 포함되어 있습니다.
• 대체 인증서(Microsoft 2023 인증서)를 UEFI 키 저장소에 도입하려면 펌웨어 업데이트가 필요합니다.

솔루션

Cisco UCS 펌웨어 업데이트 적용

새 Microsoft Secure Boot 인증서가 포함된 영향을 받는 UCS 플랫폼의 펌웨어 업데이트:

새 인증서	대체
Microsoft Windows UEFI CA 2023	Microsoft Windows 프로덕션 PCA 2011
Microsoft UEFI CA 2023	Microsoft UEFI CA 2011

작업 단계:

• Cisco 버그 ID CSCwr 모니터링45526 고정 펌웨어 버전 및 릴리스 일정에 대한 Cisco Bug Search Tool의 경우
• 특정 UCS 플랫폼(B-Series, C-Series, X-Series)에서 사용 가능한 경우 업데이트된 펌웨어를 다운로드하고 구축합니다.
• 펌웨어 업그레이드를 위해 Cisco 관리 툴 사용:
  • Cisco Intersight — 클라우드 매니지드 환경의 경우, Intersight 펌웨어 관리 정책을 사용하여 규모에 맞게 업데이트를 오케스트레이션합니다.
  • Cisco UCSM(UCS Manager) - 도메인 관리 B-Series 및 C-Series 서버용.
  • Cisco IMC(Integrated Management Controller) - 독립형 C-Series 랙 서버용

다음 표는 업데이트된 인증서가 포함된 수정 사항을 포함하는 최소 펌웨어 버전을 보여줍니다.

1. 독립형 랙 서버(HUU)

서버 모델	펌웨어 버전
UCS C125	4.3.2.260007
UCS C220 M5	4.3.2.260007
UCS C220 M6	4.3.6.260017, 6.0.2.260044
UCS C220 M7	4.3.6.260017, 6.0.2.260044
UCS C220 M8	4.3.6.260017, 6.0.2.260044
UCS C225 M6	4.3.6.260017, 6.0.2.260044
UCS C225 M8	4.3.6.260017, 6.0.2.260044
UCS C240 M5	4.3.2.260007
UCS C240 M6	4.3.6.260017, 6.0.2.260044
UCS C240 M7	4.3.6.260017, 6.0.2.260044
UCS C240 M8	4.3.6.260017, 6.0.2.260044
UCS C245 M6	4.3.6.260017, 6.0.2.260044
UCS C245 M8	4.3.6.260017, 6.0.2.260044
UCS C480 M5	4.3.2.260007
UCS S3260	4.3.6.260017
UCS XE130C M8	6.0.2.260042

---

2. IMC(Intersight)에 연결된 랙 서버

IMC 펌웨어 버전
IMC-6.0.2.260044
IMC-6.0.2.260043
IMC-6.0.2.260042
IMC-6.0.2.260040
IMC-6.0.2.260026
IMC-5.4.0.260011
IMC-5.4.0.260010
IMC-5.4.0.260009
IMC-4.3.6.260017
IMC-4.3.2.260007

---

3. IMM 서버

서버 모델	펌웨어 버전
UCS B200 M5	5.4.0.260011
UCS B480 M5	5.4.0.260011
UCS B200 M6	5.4.0.260011, 6.0.2.260040
UCS 210C M6	5.4.0.260009, 6.0.2.260040
UCS 210C M7	5.4.0.260010, 6.0.2.260040
UCS 410C M7	5.4.0.260010, 6.0.2.260040
UCS 210C M8	5.4.0.260010, 6.0.2.260040
UCS 215C M8	5.4.0.260010, 6.0.2.260040
UCS 410C M8	6.0.2.260040

---

4. UCSM 관리 서버

UCSM 펌웨어 버전
4.3(6f) UCSM
6.0(2b) UCSM

UCS 서버에서 실행 중인 운영 체제에 따라 UEFI 인증서 만료 문제를 해결하기 위해 추가 컨피그레이션이 필요할 수 있습니다. Cisco는 OS별 교정 단계에 대한 지침을 해당 OS 공급업체에 문의할 것을 권장합니다.

개정 이력

개정	게시 날짜	의견
1.0	08-Apr-2026	최초 릴리스