Vervaldatum Microsoft Secure Boot Certificate beperken
Inhoud
Inleiding
In dit document wordt beschreven hoe u de komende vervaldatum van Secure Boot Certificates kunt beperken, aangezien deze betrekking heeft op Cisco UCS-omgevingen.
Achtergrondinformatie
Secure Boot is een fundamentele beveiligingsfunctie die is ingebouwd in de Unified Extensible Firmware Interface (UEFI) van moderne servers en pc's. Het creëert een keten van vertrouwen tijdens het opstartproces door ervoor te zorgen dat alleen digitaal ondertekende en geverifieerde software-bootloaders, besturingssysteemkernels en UEFI-stuurprogramma's mogen worden uitgevoerd. Dit mechanisme beschermt systemen tegen bootkits, rootkits en andere malware-bedreigingen op laag niveau.
Het hart van Secure Boot ligt een set cryptografische certificaten uitgegeven door Microsoft. Deze certificaten zijn ingebed in de UEFI-firmware van vrijwel elke server en pc die in de afgelopen tien jaar is geleverd, inclusief Cisco UCS-servers (Unified Computing System). Ze dienen als de vertrouwensankers die valideren of een stukje opstarttijd-software legitiem is.
Microsoft heeft nu bekendgemaakt dat twee kritieke Secure Boot-certificaten, de Microsoft Windows Production PCA 2011 en de Microsoft UEFI CA 2011, op 19 oktober 2026 vervallen. Deze vervaldatum is van invloed op het hele hardware-ecosysteem en Cisco heeft de impact op zijn UCS-serverportfolio erkend onder Cisco-bug ID CSCwr45526.
Probleem
Welke certificaten verlopen?
De twee certificaten die centraal staan in deze uitgifte zijn:
| getuigschrift | rol | Vervaldatum |
|---|---|---|
| Microsoft Windows Production PCA 2011 | Microsoft Windows-bootloaders ondertekenen en valideren | 19 oktober 2026 |
| Microsoft UEFI CA 2011 | UEFI-stuurprogramma's van derden, optie-ROM's en niet-Windows-bootloaders ondertekenen en valideren | 19 oktober 2026 |
Deze certificaten worden opgeslagen in de UEFI firmware Secure Boot key stores:
- db (Signature Database) — Bevat vertrouwde certificaten die worden gebruikt om opstarttijden-binaries te verifiëren.
- KEK (Key Exchange Key) — autoriseert updates van de Handtekeningendatabase.
- PK (Platform Key) — De basis van vertrouwen, meestal eigendom van de OEM (bijvoorbeeld Cisco).
Waarom is dit een probleem voor Cisco UCS-servers?
Cisco UCS-servers — platforms uit de B-reeks (blade), de C-reeks (rack) en de X-reeks (modulair) — worden geleverd met Microsoft 2011 Secure Boot-certificaten die vooraf zijn geladen in de UEFI BIOS-firmware. Wanneer Secure Boot is ingeschakeld, gebruikt het BIOS deze certificaten bij elke opstartcyclus om te valideren:
- De Windows Server-bootloader (bijvoorbeeld bootmgfw.efi), die is ondertekend door de Windows Production PCA 2011.
- UEFI-componenten van derden, zoals:
- UEFI-stuurprogramma's voor opslagcontroller (RAID)
- Netwerkadapter PXE-opstart-ROM's
- Andere PCIe-apparaatfirmware geladen tijdens POST
Deze onderdelen zijn meestal ondertekend door de Microsoft UEFI CA 2011.
Wat gebeurt er als er geen actie wordt ondernomen?
-
Windows Server kan niet opstarten.
-
UEFI-stuurprogramma's en optie-ROM's worden afgewezen.
Opmerking: deze fouten treden pas op wanneer Microsoft Windows-bootloaders met nieuwe certificaten begint te ondertekenen.
Cisco heeft dit probleem formeel getraceerd onder Cisco bug ID CSCwr45526.
Dit gebrek erkent dat:
- De UCS-serverfirmware bevat de verlopen Microsoft 2011 Secure Boot-certificaten.
- Een firmware-update is vereist om de vervangende certificaten (Microsoft 2023-certificaten) in de UEFI-sleutelwinkels te introduceren.
Opmerking: het probleem met het Secure Boot-certificaat treedt niet op als de UCS-server wordt uitgevoerd in de modus Legacy Boot. Ook de UEFI-modus met Secure Boot uitgeschakeld blijft onaangetast.
Oplossing
Cisco UCS-firmware-updates toepassen
Bijgewerkte firmware voor getroffen UCS-platforms met de nieuwe Microsoft Secure Boot-certificaten:
| Nieuw certificaat | Vervangt |
|---|---|
| Microsoft Windows UEFI CA 2023 | Microsoft Windows Production PCA 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
Actiestappen
- Monitor Cisco bug ID CSCwr45526 op de Cisco Bug Search Tool voor vaste firmware versies en release tijdlijnen.
- Download en implementeer de bijgewerkte firmware indien beschikbaar voor uw specifieke UCS-platform (B-reeks, C-reeks, X-reeks).
- Cisco-beheertools gebruiken voor firmware-upgrade:
- Cisco Intersight — Gebruik voor in de cloud beheerde omgevingen het beleid voor firmwarebeheer van Intersight om updates op grote schaal te orkestreren.
- Cisco UCS Manager (UCSM) — Voor door een domein beheerde servers uit de B-reeks en C-reeks.
- Cisco IMC (Integrated Management Controller) — voor zelfstandige rackservers uit de C-reeks.
De volgende tabellen bevatten de minimale firmwareversie die de fix met de bijgewerkte certificaten bevat, hogere versies bevatten ook fix:
Intersight Managed Mode (IMM) - Servers
1. Bladeservers (B- en X-reeks)
| Servermodel | Firmwareversie(s) |
|---|---|
| UCSB-B200-M5 | 5.4.0.260011 |
| UCSB-B480-M5 | 5.4.0.260011 |
| UCSB-B200-M6 | 5.4.0.260011, 6.0.2.260040 |
| UCSX-210C-M6 | 5.4.0.260009, 6.0.2.260040 |
| UCSX-210C-M7 | 5.4.0.260010, 6.0.2.260040 |
| UCSX-410C-M7 | 5.4.0.260010, 6.0.2.260040 |
| UCSX-210C-M8 | 5.4.0.260010, 6.0.2.260040 |
| UCSX-215C-M8 | 5.4.0.260010, 6.0.2.260040 |
| UCSX-410C-M8 | 6.0.2.260040 |
2.Rackservers (C-reeks) geïntegreerd in Intersight Managed Mode (IMC)
| Versie IMC-firmware |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
Standalone rackservers (C-reeks) - Host Upgrade Utility (HUU)
| Servermodel | Firmwareversie(s) |
|---|---|
| UCSC-C125 | 4.3.2.260007 |
| UCSC-C220-M5 | 4.3.2.260007 |
| UCSC-C220-M6 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C220-M7 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C220-M8 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C225-M6 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C225-M8 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C240-M5 | 4.3.2.260007 |
| UCSC-C240-M6 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C240-M7 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C240-M8 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C245-M6 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C245-M8 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C480-M5 | 4.3.2.260007 |
| UCS-S3260-M5 | 4.3.6.260017 |
| UCSXE-130C-M8 | 6.0.2.260042 |
UCS Manager (UCSM) - Beheerde servers
| Versie UCSM-firmware |
|---|
| 4.3(6f) |
| 6,0(2b) |
Soms is aanvullende configuratie vereist om het UEFI-certificaatvervalprobleem op te lossen op basis van het besturingssysteem op de UCS-servers. Cisco raadt aan contact op te nemen met de betreffende leverancier van het besturingssysteem voor advies over de specifieke stappen voor probleemoplossing.
Opmerking: Firmware-updates op UCS-servers alleen lossen het probleem niet altijd volledig op. Certificaatupdates op besturingssysteemniveau kunnen ook nodig zijn om te zorgen voor een continue Secure Boot-functionaliteit na de vervaldatum van het 2026 UEFI-certificaat.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
2.0 |
05-Jun-2026
|
herindelen |
1.0 |
08-Apr-2026
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)