Microsoft 보안 부팅 인증서 만료 완화

다운로드 옵션

  • PDF     (282.1 KB)
    다양한 디바이스에서 Adobe Reader로 보기
업데이트:2026년 6월 5일
문서 ID:225712

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 Cisco UCS 환경과 관련된 보안 부팅 인증서의 만료를 줄이는 방법에 대해 설명합니다.

배경 정보

보안 부팅은 최신 서버 및 PC의 UEFI(Unified Extensible Firmware Interface)에 내장된 기본 보안 기능입니다. 디지털 서명 및 확인된 소프트웨어 부트로더, 운영 체제 커널, UEFI 드라이버만 실행할 수 있도록 보장하여 부팅 프로세스 중에 신뢰 체인을 설정합니다. 이 메커니즘은 부트킷, 루트킷 및 기타 하위 레벨 악성코드 위협으로부터 시스템을 보호합니다.

보안 부팅의 중심에는 Microsoft에서 발급한 암호화 인증서 집합이 있습니다. 이러한 인증서는 Cisco UCS(Unified Computing System) 서버를 비롯하여 지난 10년간 출하된 거의 모든 서버 및 PC의 UEFI 펌웨어에 내장됩니다. 이들은 부트 시간 소프트웨어의 일부가 합법적인지 여부를 검증하는 트러스트 앵커 역할을 합니다.

Microsoft는 두 가지 중요한 보안 부팅 인증서인 Microsoft Windows Production PCA 2011과 Microsoft UEFI CA 2011이 2026년 10월 19일에 만료될 예정이라고 발표했습니다. 이 만료는 전체 하드웨어 에코시스템에 영향을 미치며, Cisco는 Cisco 버그 ID CSCwr45526에 따라 UCS 서버 포트폴리오에 미치는 영향을 인정했습니다.

문제

어떤 인증서가 만료됩니까?

이 문제의 중심에 있는 두 인증서는 다음과 같습니다.

인증서 역할 만료 날짜
Microsoft Windows 프로덕션 PCA 2011 Microsoft Windows 부트로더 서명 및 유효성 검사 2026년 10월 19일
Microsoft UEFI CA 2011 타사 UEFI 드라이버, 옵션 ROM 및 비 Windows 부트로더 서명 및 검증 2026년 10월 19일


이러한 인증서는 UEFI 펌웨어 보안 부팅 키 저장소에 저장됩니다.

  • db(시그니처 데이터베이스) — 부트 시간 이진 파일을 확인하는 데 사용되는 신뢰할 수 있는 인증서를 포함합니다.
  • KEK(키 교환 키) — 서명 데이터베이스에 대한 업데이트를 승인합니다.
  • PK(Platform Key) — 일반적으로 OEM(예: Cisco)이 소유하는 신뢰의 루트입니다.

Cisco UCS Server에서 이 문제가 발생하는 이유는 무엇입니까?

Cisco UCS 서버 - B-Series(Blade), C-Series(Rack), X-Series(Modular) 플랫폼 - UEFI BIOS 펌웨어에 사전 로드된 Microsoft 2011 Secure Boot 인증서와 함께 제공됩니다. 보안 부팅이 활성화되면 BIOS는 부팅 주기마다 다음 인증서를 사용하여 다음을 검증합니다.

  • Windows Production PCA 2011에서 서명된 Windows Server 부트로더(예: bootmgfw.efi).
  • 타사 UEFI 구성 요소:
    • 스토리지 컨트롤러(RAID) UEFI 드라이버
    • 네트워크 어댑터 PXE 부팅 ROM
    • POST 중에 로드된 기타 PCIe 디바이스 펌웨어

이러한 구성 요소는 일반적으로 Microsoft UEFI CA 2011에서 서명합니다.

아무 조치도 취해지지 않으면 어떻게 됩니까?

  • Windows Server가 부팅되지 않습니다.

  • UEFI 드라이버 및 옵션 ROM이 거부됩니다.

note-icon

참고: 이러한 오류는 Microsoft에서 새 인증서로 Windows 부트로더에 서명하기 시작할 때까지 발생하지 않습니다.

Cisco는 Cisco 버그 ID CSCwr45526에 따라 이 문제를 공식적으로 추적했습니다.


이 결함은 다음을 인정합니다.

  • UCS 서버 펌웨어에 만료되는 Microsoft 2011 Secure Boot 인증서가 포함되어 있습니다.
  • 교체 인증서(Microsoft 2023 인증서)를 UEFI 키 저장소에 도입하려면 펌웨어 업데이트가 필요합니다.
note-icon

참고:UCS 서버가 레거시 부팅 모드에서 실행되면 보안 부팅 인증서 문제가 발생하지 않습니다. 마찬가지로, 보안 부팅이 비활성화된 UEFI 모드는 영향을 받지 않습니다.

솔루션

Cisco UCS 펌웨어 업데이트 적용

새 Microsoft Secure Boot 인증서가 포함된 영향을 받는 UCS 플랫폼의 펌웨어 업데이트:

새 인증서 대체
Microsoft Windows UEFI CA 2023 Microsoft Windows 프로덕션 PCA 2011
Microsoft UEFI CA 2023 Microsoft UEFI CA 2011

작업 단계

  • Cisco Bug Search Tool에서 Cisco 버그 ID CSCwr45526에서 고정 펌웨어 버전 및 릴리스 일정을 모니터링합니다.
  • 특정 UCS 플랫폼(B-Series, C-Series, X-Series)에서 사용 가능한 경우 업데이트된 펌웨어를 다운로드하고 구축합니다.
  • 펌웨어 업그레이드를 위해 Cisco 관리 툴 사용:
    • Cisco Intersight — 클라우드 매니지드 환경의 경우, Intersight 펌웨어 관리 정책을 사용하여 규모에 맞게 업데이트를 오케스트레이션합니다.
    • Cisco UCSM(UCS Manager) - 도메인 관리 B-Series 및 C-Series 서버용.
    • Cisco IMC(Integrated Management Controller) - 독립형 C-Series 랙 서버용

다음 표에는 업데이트된 인증서와 함께 픽스를 포함하는 최소 펌웨어 버전이 포함되어 있으며, 상위 버전에는 픽스가 포함되어 있습니다.

IMM(Intersight Managed Mode) - 서버

1. 블레이드 서버(B 및 X - 시리즈)

서버 모델 펌웨어 버전
UCSB-B200-M5 5.4.0.260011
UCSB-B480-M5 5.4.0.260011
UCSB-B200-M6 5.4.0.260011, 6.0.2.260040
UCSX-210C-M6 5.4.0.260009, 6.0.2.260040
UCSX-210C-M7 5.4.0.260010, 6.0.2.260040
UCSX-410C-M7 5.4.0.260010, 6.0.2.260040
UCSX-210C-M8 5.4.0.260010, 6.0.2.260040
UCSX-215C-M8 5.4.0.260010, 6.0.2.260040
UCSX-410C-M8 6.0.2.260040

2. IMC(Intersight Managed Mode)에 통합된 랙 서버(C-Series)

IMC 펌웨어 버전
IMC-6.0.2.260044
IMC-6.0.2.260043
IMC-6.0.2.260042
IMC-6.0.2.260040
IMC-6.0.2.260026
IMC-5.4.0.260011
IMC-5.4.0.260010
IMC-5.4.0.260009
IMC-4.3.6.260017
IMC-4.3.2.260007

독립형 랙 서버(C-Series) - 호스트 업그레이드 유틸리티(HUU)

서버 모델 펌웨어 버전
UCSC-C125 4.3.2.260007
UCSC-C220-M5 4.3.2.260007
UCSC-C220-M6 4.3.6.260017, 6.0.2.260044
UCSC-C220-M7 4.3.6.260017, 6.0.2.260044
UCSC-C220-M8 4.3.6.260017, 6.0.2.260044
UCSC-C225-M6 4.3.6.260017, 6.0.2.260044
UCSC-C225-M8 4.3.6.260017, 6.0.2.260044
UCSC-C240-M5 4.3.2.260007
UCSC-C240-M6 4.3.6.260017, 6.0.2.260044
UCSC-C240-M7 4.3.6.260017, 6.0.2.260044
UCSC-C240-M8 4.3.6.260017, 6.0.2.260044
UCSC-C245-M6 4.3.6.260017, 6.0.2.260044
UCSC-C245-M8 4.3.6.260017, 6.0.2.260044
UCSC-C480-M5 4.3.2.260007
UCS-S3260-M5 4.3.6.260017
UCSXE-130C-M8 6.0.2.260042

UCS Manager(UCSM) - 관리 서버

UCSM 펌웨어 버전
4.3(6f) 
6.0(2b) 

UCS 서버의 운영 체제를 기반으로 UEFI 인증서 만료 문제를 해결하려면 추가 컨피그레이션이 필요할 때도 있습니다. Cisco에서는 특정 리미디에이션 단계에 대한 지침을 해당 OS 벤더에 문의할 것을 권장합니다.

note-icon

참고: UCS 서버의 펌웨어 업데이트만으로 항상 문제가 완전히 해결되지는 않습니다. 2026 UEFI 인증서 만료일 이후에도 보안 부팅 기능을 계속 유지하려면 OS 레벨 인증서 업데이트도 필요할 수 있습니다.

개정 이력

개정 게시 날짜 의견
2.0
05-Jun-2026
서식 다시 지정
1.0
08-Apr-2026
최초 릴리스
TAC Authored

Cisco 엔지니어가 작성

  • 호르헤 마르케스
    기술 컨설팅 엔지니어
  • 호르헤 라비브 히메네스 톨레도
    기술 컨설팅 엔지니어
  • 리카르도 갈반
    기술 컨설팅 엔지니어링 기술 리더

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품