Mitigar Expiração do Certificado de Inicialização Segura da Microsoft
Contents
Introdução
Este documento descreve como reduzir a próxima expiração dos certificados de inicialização segura, já que se trata de ambientes Cisco UCS.
Informações de Apoio
A Inicialização Segura é um recurso de segurança básico integrado na Unified Extensible Firmware Interface (UEFI) de servidores e PCs modernos. Estabelece uma cadeia de confiança durante o processo de inicialização, garantindo que apenas carregadores de inicialização de software, kernels do sistema operacional e drivers UEFI assinados digitalmente e verificados sejam permitidos para execução. Esse mecanismo protege os sistemas contra bootkits, rootkits e outras ameaças de malware de baixo nível.
No centro da Inicialização Segura está um conjunto de certificados criptográficos emitidos pela Microsoft. Esses certificados estão incorporados no firmware da UEFI de praticamente todos os servidores e PCs vendidos na última década, incluindo os servidores Cisco UCS (Unified Computing System). Eles servem como âncoras de confiança que validam se um software de tempo de inicialização é legítimo.
A Microsoft divulgou agora que dois certificados críticos do Secure Boot, o Microsoft Windows Production PCA 2011 e o Microsoft UEFI CA 2011 estão prestes a expirar em 19 de outubro de 2026. Essa expiração afeta todo o ecossistema de hardware, e a Cisco reconheceu o impacto em seu portfólio de servidores UCS sob a ID de bug Cisco CSCwr45526
Problema
Quais Certificados Estão Expirando?
Os dois certificados no centro desta emissão são:
| Certificado | Função | Data de vencimento |
|---|---|---|
| APC de produção do Microsoft Windows 2011 | Assina e valida carregadores de inicialização do Microsoft Windows | 19 de outubro de 2026 |
| Microsoft UEFI CA 2011 | Assina e valida drivers UEFI de terceiros, ROMs de opção e carregadores de inicialização não Windows | 19 de outubro de 2026 |
Esses certificados são armazenados no armazenamento de chave de Inicialização Segura do firmware UEFI:
- db (Signature Database) — Contém certificados confiáveis usados para verificar binários de tempo de inicialização.
- KEK (Key Exchange Key) — Autoriza atualizações no Banco de Dados de Assinaturas.
- PK (chave de plataforma) — A raiz da confiança, normalmente de propriedade do OEM (por exemplo, Cisco).
-
Por que isso é um problema para os servidores Cisco UCS?
Os servidores Cisco UCS, incluindo as plataformas B-Series (Blade), C-Series (Rack) e X-Series (Modular), são fornecidos com os certificados Secure Boot da Microsoft 2011 pré-carregados no firmware do BIOS da UEFI. Quando a Inicialização Segura está habilitada, o BIOS usa estes certificados em cada ciclo de inicialização para validar:
- O carregador de inicialização do Windows Server (por exemplo, bootmgfw.efi), que é assinado pelo Windows Production PCA 2011.
- Componentes UEFI de terceiros, como:
- Drivers UEFI da controladora de armazenamento (RAID)
- ROMs de inicialização PXE do adaptador de rede
- Outro firmware de dispositivo PCIe carregado durante o POST
Esses componentes são normalmente assinados pela Microsoft UEFI CA 2011.
O Que Acontece Se Nenhuma Ação For Tomada?
-
O Windows Server não inicializa
-
Os drivers UEFI e as ROMs opcionais são rejeitados
Essas falhas não ocorrem até que a Microsoft comece a assinar os carregadores de inicialização do Windows com novos certificados.
A Cisco rastreou formalmente esse problema em ID de bug Cisco CSCwr45526 
Este defeito reconhece que:
- O firmware do servidor UCS contém os certificados do Microsoft 2011 Secure Boot que estão prestes a expirar.
- É necessária uma atualização de firmware para introduzir os certificados de substituição (certificados do Microsoft 2023) nos armazenamentos de chaves da UEFI.
Solução
Aplicar atualizações de firmware do Cisco UCS
Firmware atualizado para as plataformas UCS afetadas que inclui os novos certificados do Microsoft Secure Boot:
| Novo certificado | Substitui |
|---|---|
| Microsoft Windows UEFI CA 2023 | APC de produção do Microsoft Windows 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
Etapas da ação:
- Monitore o bug da Cisco ID CSCwr45526 na Cisco Bug Search Tool para obter versões de firmware fixas e prazos de lançamento.
- Baixe e implante o firmware atualizado quando disponível para sua plataforma UCS específica (B-Series, C-Series, X-Series).
- Use as ferramentas de gerenciamento da Cisco para atualização de firmware:
- Cisco Intersight — Para ambientes gerenciados em nuvem, use as políticas de gerenciamento de firmware da Intersight para orquestrar atualizações em escala.
- Cisco UCS Manager (UCSM) — Para servidores gerenciados por domínio B-Series e C-Series.
- Cisco IMC (Integrated Management Controller, Controlador de gerenciamento integrado) — para servidores rack C-Series autônomos.
A tabela mostra a versão mínima do firmware que inclui a correção que contém os certificados atualizados:
1. Servidores em Rack Autônomos (HUU)
| Modelo do servidor | Versão(ões) do firmware |
|---|---|
| UCS C125 | 4.3.2.260007 |
| UCS C220 M5 | 4.3.2.260007 |
| UCS C220 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C220 M7 | 4.3.6.260017, 6.0.2.260044 |
| UCS C220 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C225 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C225 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M5 | 4.3.2.260007 |
| UCS C240 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M7 | 4.3.6.260017, 6.0.2.260044 |
| UCS C240 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C245 M6 | 4.3.6.260017, 6.0.2.260044 |
| UCS C245 M8 | 4.3.6.260017, 6.0.2.260044 |
| UCS C480 M5 | 4.3.2.260007 |
| UCS S3260 | 4.3.6.260017 |
| UCS XE130C M8 | 6.0.2.260042 |
2. Servidores em rack conectados à Intersight (IMC)
| Versão do firmware IMC |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
3. Servidores IMM
| Modelo do servidor | Versão(ões) do firmware |
|---|---|
| UCS B200 M5 | 5.4.0.260011 |
| UCS B480 M5 | 5.4.0.260011 |
| UCS B200 M6 | 5.4.0.260011, 6.0.2.260040 |
| UCS 210C M6 | 5.4.0.260009, 6.0.2.260040 |
| UCS 210C M7 | 5.4.0.260010, 6.0.2.260040 |
| UCS 410C M7 | 5.4.0.260010, 6.0.2.260040 |
| UCS 210C M8 | 5.4.0.260010, 6.0.2.260040 |
| UCS 215C M8 | 5.4.0.260010, 6.0.2.260040 |
| UCS 410C M8 | 6.0.2.260040 |
4. Servidores gerenciados UCSM
| Versão do firmware UCSM |
|---|
| 4.3(6f) UCSM |
| 6.0(2b) UCSM |
Dependendo do sistema operacional em execução nos servidores UCS, pode ser necessária configuração adicional para resolver o problema de expiração do certificado UEFI. A Cisco recomenda consultar o respectivo fornecedor de SO para obter orientação sobre quaisquer etapas de correção específicas do SO.
Note: As atualizações de firmware nos servidores UCS podem não resolver totalmente o problema. As atualizações de certificado no nível do SO também podem ser necessárias para garantir a funcionalidade contínua do Secure Boot além da data de expiração do certificado 2026 UEFI.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
1.0 |
08-Apr-2026
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)