Mitigar Expiração do Certificado de Inicialização Segura da Microsoft
Contents
Introdução
Este documento descreve como reduzir a próxima expiração dos certificados de inicialização segura, já que se trata de ambientes Cisco UCS.
Informações de Apoio
A Inicialização Segura é um recurso de segurança básico integrado à Unified Extensible Firmware Interface (UEFI) de servidores e PCs modernos. Estabelece uma cadeia de confiança durante o processo de inicialização, garantindo que apenas carregadores de inicialização de software, kernels do sistema operacional e drivers UEFI assinados digitalmente e verificados sejam permitidos para execução. Esse mecanismo protege os sistemas contra bootkits, rootkits e outras ameaças de malware de baixo nível.
No centro da Inicialização Segura está um conjunto de certificados criptográficos emitidos pela Microsoft. Esses certificados estão incorporados no firmware da UEFI de praticamente todos os servidores e PCs vendidos na última década, incluindo os servidores Cisco UCS (Unified Computing System). Eles servem como âncoras de confiança que validam se um software de tempo de inicialização é legítimo.
A Microsoft divulgou que dois certificados críticos do Secure Boot, o Microsoft Windows Production PCA 2011 e o Microsoft UEFI CA 2011, estão prestes a expirar em 19 de outubro de 2026. Essa expiração afeta todo o ecossistema de hardware, e a Cisco reconheceu o impacto em seu portfólio de servidores UCS sob a ID de bug da Cisco CSCwr45526.
Problema
Quais Certificados Estão Expirando?
Os dois certificados no centro desta emissão são:
| Certificado | Função | Data de vencimento |
|---|---|---|
| APC de produção do Microsoft Windows 2011 | Assina e valida carregadores de inicialização do Microsoft Windows | 19 de outubro de 2026 |
| Microsoft UEFI CA 2011 | Assina e valida drivers UEFI de terceiros, ROMs de opção e carregadores de inicialização não Windows | 19 de outubro de 2026 |
Esses certificados são armazenados no armazenamento de chave de Inicialização Segura do firmware UEFI:
- db (Signature Database) — Contém certificados confiáveis usados para verificar binários de tempo de inicialização.
- KEK (Key Exchange Key) — Autoriza atualizações no Banco de Dados de Assinaturas.
- PK (chave de plataforma) — A raiz da confiança, normalmente de propriedade do OEM (por exemplo, Cisco).
Por que isso é um problema para os servidores Cisco UCS?
Os servidores Cisco UCS — plataformas B-Series (Blade), C-Series (Rack) e X-Series (Modular) — são fornecidos com os certificados Secure Boot da Microsoft 2011 pré-carregados no firmware do BIOS da UEFI. Quando a Inicialização Segura está habilitada, o BIOS usa estes certificados em cada ciclo de inicialização para validar:
- O carregador de inicialização do Windows Server (por exemplo, bootmgfw.efi), que é assinado pelo Windows Production PCA 2011.
- Componentes UEFI de terceiros, como:
- Drivers UEFI da controladora de armazenamento (RAID)
- ROMs de inicialização PXE do adaptador de rede
- Outro firmware de dispositivo PCIe carregado durante o POST
Esses componentes são normalmente assinados pela Microsoft UEFI CA 2011.
O Que Acontece Se Nenhuma Ação For Tomada?
-
O Windows Server não inicializa.
-
Os drivers UEFI e as ROMs opcionais são rejeitados.
Note: Essas falhas não ocorrem até que a Microsoft comece a assinar os carregadores de inicialização do Windows com novos certificados.
A Cisco rastreou formalmente esse problema sob a ID de bug CSCwr45526.
Este defeito reconhece que:
- O firmware do servidor UCS contém os certificados do Microsoft 2011 Secure Boot que estão prestes a expirar.
- É necessária uma atualização de firmware para introduzir os certificados de substituição (certificados Microsoft 2023) nos armazenamentos de chaves da UEFI.
Nota:O problema do certificado de Inicialização Segura não ocorrerá se o servidor UCS for executado no modo de Inicialização Herdada. Da mesma forma, o modo UEFI com Inicialização Segura desabilitada permanece inalterado.
Solução
Aplicar atualizações de firmware do Cisco UCS
Firmware atualizado para as plataformas UCS afetadas que inclui os novos certificados do Microsoft Secure Boot:
| Novo certificado | Substitui |
|---|---|
| Microsoft Windows UEFI CA 2023 | APC de produção do Microsoft Windows 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
Etapas da ação
- Monitore o bug da Cisco ID CSCwr4526 na Cisco Bug Search Tool para obter versões de firmware fixas e prazos de lançamento.
- Baixe e implante o firmware atualizado quando disponível para sua plataforma UCS específica (B-Series, C-Series, X-Series).
- Use as ferramentas de gerenciamento da Cisco para atualização de firmware:
- Cisco Intersight — Para ambientes gerenciados em nuvem, use as políticas de gerenciamento de firmware da Intersight para orquestrar atualizações em escala.
- Cisco UCS Manager (UCSM) — Para servidores gerenciados por domínio B-Series e C-Series.
- Cisco IMC (Integrated Management Controller, Controlador de gerenciamento integrado) — para servidores rack C-Series autônomos.
As tabelas a seguir contêm a versão mínima do firmware que inclui a correção com os certificados atualizados; as versões superiores também contêm a correção:
IMM (Intersight Managed Mode, Modo gerenciado de supervisão) - Servidores
1. Servidores Blade (B e X - Series)
| Modelo do servidor | Versão(ões) do firmware |
|---|---|
| UCSB-B200-M5 | 5.4.0.260011 |
| UCSB-B480-M5 | 5.4.0.260011 |
| UCSB-B200-M6 | 5.4.0.260011, 6.0.2.260040 |
| UCSX-210C-M6 | 5.4.0.260009, 6.0.2.260040 |
| UCSX-210C-M7 | 5.4.0.260010, 6.0.2.260040 |
| UCSX-410C-M7 | 5.4.0.260010, 6.0.2.260040 |
| UCSX-210C-M8 | 5.4.0.260010, 6.0.2.260040 |
| UCSX-215C-M8 | 5.4.0.260010, 6.0.2.260040 |
| UCSX-410C-M8 | 6.0.2.260040 |
2.1 Servidores em rack (C-Series) integrados no modo gerenciado Intersight (IMC)
| Versão do firmware IMC |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
Servidores em rack autônomos (C-Series) - Utilitário de atualização de host (HUU)
| Modelo do servidor | Versão(ões) do firmware |
|---|---|
| UCSC-C125 | 4.3.2.260007 |
| UCSC-C220-M5 | 4.3.2.260007 |
| UCSC-C220-M6 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C220-M7 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C220-M8 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C225-M6 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C225-M8 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C240-M5 | 4.3.2.260007 |
| UCSC-C240-M6 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C240-M7 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C240-M8 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C245-M6 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C245-M8 | 4.3.6.260017, 6.0.2.260044 |
| UCSC-C480-M5 | 4.3.2.260007 |
| UCS-S3260-M5 | 4.3.6.260017 |
| UCSXE-130C-M8 | 6.0.2.260042 |
UCS Manager (UCSM) - Servidores gerenciados
| Versão do firmware UCSM |
|---|
| 4.3 (6f) |
| 6.0 (2b) |
Às vezes, são necessárias configurações adicionais para resolver o problema de expiração do certificado da UEFI, com base no sistema operacional dos servidores UCS. A Cisco recomenda entrar em contato com o respectivo fornecedor de SO para obter orientação sobre as etapas de correção específicas.
Note: As atualizações de firmware nos servidores UCS sozinhos nem sempre resolvem totalmente o problema. As atualizações de certificado no nível do SO também podem ser necessárias para garantir a funcionalidade contínua do Secure Boot além da data de expiração do certificado da UEFI de 2026.
Histórico de revisões
| Revisão | Data de publicação | Comentários |
|---|---|---|
2.0 |
05-Jun-2026
|
Reformatação |
1.0 |
08-Apr-2026
|
Versão inicial |
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)