Vervaldatum Microsoft Secure Boot Certificate beperken
Inhoud
Inleiding
In dit document wordt beschreven hoe u de komende vervaldatum van Secure Boot Certificates kunt beperken, aangezien deze betrekking heeft op Cisco UCS-omgevingen.
Achtergrondinformatie
Secure Boot is een fundamentele beveiligingsfunctie die is ingebouwd in de Unified Extensible Firmware Interface (UEFI) van moderne servers en pc's. Het creëert een keten van vertrouwen tijdens het opstartproces door ervoor te zorgen dat alleen digitaal ondertekende en geverifieerde software-bootloaders, besturingssysteemkernels en UEFI-stuurprogramma's mogen worden uitgevoerd. Dit mechanisme beschermt systemen tegen bootkits, rootkits en andere malware-bedreigingen op laag niveau.
Het hart van Secure Boot ligt een set cryptografische certificaten uitgegeven door Microsoft. Deze certificaten zijn ingebed in de UEFI-firmware van vrijwel elke server en pc die de afgelopen tien jaar is geleverd, inclusief Cisco UCS-servers (Unified Computing System). Ze dienen als de vertrouwensankers die valideren of een stukje opstarttijd-software legitiem is.
Microsoft heeft nu bekendgemaakt dat twee kritieke Secure Boot-certificaten, de Microsoft Windows Production PCA 2011 en de Microsoft UEFI CA 2011, zijn ingesteld om te vervallen op 19 oktober 2026. Deze vervaldatum is van invloed op het hele hardware-ecosysteem en Cisco heeft de impact op zijn UCS-serverportfolio erkend onder Cisco-bug-ID CSCwr45526
Probleem
Welke certificaten verlopen?
De twee certificaten die centraal staan in deze uitgifte zijn:
| getuigschrift | rol | Vervaldatum |
|---|---|---|
| Microsoft Windows Production PCA 2011 | Microsoft Windows-bootloaders ondertekenen en valideren | 19 oktober 2026 |
| Microsoft UEFI CA 2011 | UEFI-stuurprogramma's van derden, optie-ROM's en niet-Windows-bootloaders ondertekenen en valideren | 19 oktober 2026 |
Deze certificaten worden opgeslagen in de UEFI firmware Secure Boot key stores:
- db (Signature Database) — Bevat vertrouwde certificaten die worden gebruikt om opstarttijden-binaries te verifiëren.
- KEK (Key Exchange Key) — autoriseert updates van de Handtekeningendatabase.
- PK (Platform Key) — De basis van vertrouwen, meestal eigendom van de OEM (bijvoorbeeld Cisco).
-
Waarom is dit een probleem voor Cisco UCS-servers?
Cisco UCS-servers, waaronder de B-Series (Blade), C-Series (Rack) en X-Series (Modular) platforms, worden geleverd met Microsoft 2011 Secure Boot-certificaten die vooraf zijn geladen in hun UEFI BIOS-firmware. Wanneer Secure Boot is ingeschakeld, gebruikt het BIOS deze certificaten bij elke opstartcyclus om te valideren:
- De Windows Server-bootloader (bijvoorbeeld bootmgfw.efi), die is ondertekend door de Windows Production PCA 2011.
- UEFI-componenten van derden, zoals:
- UEFI-stuurprogramma's voor opslagcontroller (RAID)
- Netwerkadapter PXE-opstart-ROM's
- Andere PCIe-apparaatfirmware geladen tijdens POST
Deze onderdelen zijn meestal ondertekend door de Microsoft UEFI CA 2011.
Wat gebeurt er als er geen actie wordt ondernomen?
-
Windows Server kan niet opstarten
-
UEFI-stuurprogramma's en optie-ROM's worden afgewezen
Deze fouten treden pas op wanneer Microsoft Windows-bootloaders met nieuwe certificaten begint te ondertekenen.
Cisco heeft dit probleem formeel getraceerd onder Cisco bug ID CSCwr45526 
Dit gebrek erkent dat:
- De UCS-serverfirmware bevat de verlopen Microsoft 2011 Secure Boot-certificaten.
- Een firmware-update is vereist om de vervangende certificaten (Microsoft 2023-certificaten) in de UEFI-sleutelwinkels te introduceren.
Oplossing
Cisco UCS-firmware-updates toepassen
Bijgewerkte firmware voor getroffen UCS-platforms met de nieuwe Microsoft Secure Boot-certificaten:
| Nieuw certificaat | Vervangt |
|---|---|
| Microsoft Windows UEFI CA 2023 | Microsoft Windows Production PCA 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
Actiestappen:
- Monitor Cisco bug ID CSCwr45526 op de Cisco Bug Search Tool voor vaste firmwareversies en releasetermijnen.
- Download en implementeer de bijgewerkte firmware indien beschikbaar voor uw specifieke UCS-platform (B-reeks, C-reeks, X-reeks).
- Cisco-beheertools gebruiken voor firmware-upgrade:
- Cisco Intersight — Gebruik voor in de cloud beheerde omgevingen het beleid voor firmwarebeheer van Intersight om updates op grote schaal te orkestreren.
- Cisco UCS Manager (UCSM) — Voor door een domein beheerde servers uit de B-reeks en C-reeks.
- Cisco IMC (Integrated Management Controller) — voor zelfstandige rackservers uit de C-reeks.
De tabel toont de minimale firmwareversie die de oplossing bevat met de bijgewerkte certificaten:
1. Standalone rackservers (HUU)
| Servermodel | Firmwareversie(s) |
|---|---|
| UCS C125 | 4.3.2.260007 |
| UCS C220 M5 | 4.3.2.260007 |
| UCS C220 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C220 M7 | 4.3.6.260017, 6.0.2.260044 |
| UCS C220 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C225 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C225 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M5 | 4.3.2.260007 |
| UCS C240 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M7 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C245 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C245 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C480 M5 | 4.3.2.260007 |
| UCS S3260 | 4.3.6.260017 |
| UCS XE130C M8 | 6.0.2.260042 |
2. Rackservers aangesloten op Intersight (IMC)
| Versie IMC-firmware |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
3. IMM-servers
| Servermodel | Firmwareversie(s) |
|---|---|
| UCS B200 M5 | 5.4.0.260011 |
| UCS B480 M5 | 5.4.0.260011 |
| UCS B200 M6 | 5.4.0.260011, 6.0.2.260040 |
| UCS 210C M6 | 5.4.0.260009, 6.0.2.260040 |
| UCS 210C M7 | 5.4.0.260010, 6.0.2.260040 |
| UCS 410C M7 | 5.4.0.260010, 6.0.2.260040 |
| UCS 210C M8 | 5.4.0.260010, 6.0.2.260040 |
| UCS 215C M8 | 5.4.0.260010, 6.0.2.260040 |
| UCS 410C M8 | 6.0.2.260040 |
4. Door UCSM beheerde servers
| Versie UCSM-firmware |
|---|
| 4.3(6 septies) UCSM |
| 6.0(2b) UCSM |
Afhankelijk van het besturingssysteem dat op de UCS-servers wordt uitgevoerd, is mogelijk aanvullende configuratie vereist om het UEFI-certificaatvervalprobleem aan te pakken. Cisco raadt aan de betreffende leverancier van besturingssystemen te raadplegen voor advies over stappen voor herstel van besturingssystemen.
Opmerking: Firmware-updates op UCS-servers alleen kunnen het probleem mogelijk niet volledig oplossen. Certificaatupdates op besturingssysteemniveau kunnen ook nodig zijn om te zorgen voor een continue Secure Boot-functionaliteit na de vervaldatum van het 2026 UEFI-certificaat.
Revisiegeschiedenis
| Revisie | Publicatiedatum | Opmerkingen |
|---|---|---|
1.0 |
08-Apr-2026
|
Eerste vrijgave |
FeedbackContact Cisco
- Een ondersteuningscase openen
- (Vereist een Cisco-servicecontract)