缓解Microsoft安全引导证书过期
简介
本文档介绍如何缓解安全引导证书即将到期的问题,因为它适用于Cisco UCS环境。
背景信息
安全启动是内置在现代服务器和PC的统一可扩展固件接口(UEFI)中的基本安全功能。它通过确保仅允许执行经过数字签名和验证的软件引导加载程序、操作系统内核和UEFI驱动程序,在引导过程中建立信任链。此机制可保护系统免受Bootkit、Rootkit和其他低级恶意软件威胁。
Secure Boot的核心是Microsoft颁发的一组加密证书。在过去十年中,这些证书几乎嵌入到所有服务器和PC的UEFI固件中,包括Cisco UCS(统一计算系统)服务器。它们充当信任锚,用于验证引导时软件是否合法。
Microsoft现已披露,两个关键安全启动证书(Microsoft Windows Production PCA 2011和Microsoft UEFI CA 2011)将于2026年10月19日到期。此过期会影响整个硬件生态系统,思科已通过Cisco Bug ID CSCwr45526确认了UCS服务器产品组合受到的影响。
问题
哪些证书即将过期?
此问题的核心是以下两个证书:
| 证书 | 角色 | 到期日期 |
|---|---|---|
| Microsoft Windows生产PCA 2011 | 签名并验证Microsoft Windows引导程序 | 2026年10月19日 |
| Microsoft UEFI CA 2011 | 签名并验证第三方UEFI驱动程序、选项ROM和非Windows引导程序 | 2026年10月19日 |
这些证书存储在UEFI固件安全启动密钥存储中:
- db(签名数据库) — 包含用于验证引导时二进制文件的受信任证书。
- KEK(密钥交换密钥) — 授权对签名数据库的更新。
- PK(平台密钥) — 信任的根,通常由OEM(例如思科)拥有。
为什么这是Cisco UCS服务器的问题?
Cisco UCS服务器 — B系列(刀片)、C系列(机架)和X系列(模块化)平台 — 附带预加载到其UEFI BIOS固件中的Microsoft 2011安全引导证书。启用安全引导后,BIOS会在每个引导周期使用这些证书进行验证:
- 由Windows Production PCA 2011签名的Windows Server引导加载程序(例如bootmgfw.efi)。
- 第三方UEFI组件,例如:
- 存储控制器(RAID)UEFI驱动程序
- 网络适配器PXE引导ROM
- POST期间加载的其他PCIe设备固件
这些组件通常由Microsoft UEFI CA 2011签名。
如果不执行操作会发生什么情况?
-
Windows Server无法启动。
-
UEFI驱动程序和选项ROM被拒绝。
注意:在Microsoft开始使用新证书对Windows引导程序进行签名之前,不会发生这些故障。
思科已正式在Cisco Bug ID CSCwr45526下跟踪此问题。
此缺陷承认:
- UCS服务器固件包含即将到期的Microsoft 2011安全引导证书。
- 需要固件更新以将替换证书(Microsoft 2023证书)引入到UEFI密钥库中。
注:如果UCS服务器在传统引导模式下运行,则不会发生安全引导证书问题。同样,禁用安全引导的UEFI模式不会受到影响。
解决方案
应用Cisco UCS固件更新
已更新受影响的UCS平台的固件,包括新的Microsoft安全引导证书:
| 新证书 | 替换 |
|---|---|
| Microsoft Windows UEFI CA 2023 | Microsoft Windows生产PCA 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
操作步骤
- 在Cisco Bug Search Tool上监控Cisco Bug ID CSCwr4526,了解固定固件版本和版本时间表。
- 下载并部署更新后的固件(适用于您的特定UCS平台(B系列、C系列和X系列)。
- 使用思科管理工具进行固件升级:
- Cisco Intersight -对于云托管环境,请使用Intersight固件管理策略大规模协调更新。
- Cisco UCS Manager(UCSM)-用于域管理的B系列和C系列服务器。
- 思科IMC(集成管理控制器) — 适用于独立C系列机架式服务器。
接下来的表格包含最低固件版本,其中包含具有更新证书的修补程序,更高版本也包含修补程序:
Intersight管理模式(IMM) — 服务器
1.刀片服务器(B和X — 系列)
| 服务器型号 | 固件版本 |
|---|---|
| UCSB-B200-M5 | 5.4.0.260011 |
| UCSB-B480-M5 | 5.4.0.260011 |
| UCSB-B200-M6 | 5.4.0.260011,6.0.2.260040 |
| UCSX-210C-M6 | 5.4.0.260009,6.0.2.260040 |
| UCSX-210C-M7 | 5.4.0.260010,6.0.2.260040 |
| UCSX-410C-M7 | 5.4.0.260010,6.0.2.260040 |
| UCSX-210C-M8 | 5.4.0.260010,6.0.2.260040 |
| UCSX-215C-M8 | 5.4.0.260010,6.0.2.260040 |
| UCSX-410C-M8 | 6.0.2.260040 |
2.集成在Intersight管理模式(IMC)中的机架式服务器(C系列)
| IMC固件版本 |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
独立机架式服务器(C系列) — 主机升级实用程序(HUU)
| 服务器型号 | 固件版本 |
|---|---|
| UCSC-C125 | 4.3.2.260007 |
| UCSC-C220-M5 | 4.3.2.260007 |
| UCSC-C220-M6 | 4.3.6.260017,6.0.2.260044 |
| UCSC-C220-M7 | 4.3.6.260017,6.0.2.260044 |
| UCSC-C220-M8 | 4.3.6.260017,6.0.2.260044 |
| UCSC-C225-M6 | 4.3.6.260017,6.0.2.260044 |
| UCSC-C225-M8 | 4.3.6.260017,6.0.2.260044 |
| UCSC-C240-M5 | 4.3.2.260007 |
| UCSC-C240-M6 | 4.3.6.260017,6.0.2.260044 |
| UCSC-C240-M7 | 4.3.6.260017,6.0.2.260044 |
| UCSC-C240-M8 | 4.3.6.260017,6.0.2.260044 |
| UCSC-C245-M6 | 4.3.6.260017,6.0.2.260044 |
| UCSC-C245-M8 | 4.3.6.260017,6.0.2.260044 |
| UCSC-C480-M5 | 4.3.2.260007 |
| UCS-S3260-M5 | 4.3.6.260017 |
| UCSXE-130C-M8 | 6.0.2.260042 |
UCS Manager(UCSM) — 托管服务器
| UCSM固件版本 |
|---|
| 4.3(6f) |
| 6.0(2b) |
根据UCS服务器上的操作系统,解决UEFI证书过期问题有时需要额外的配置。思科建议联系各操作系统供应商,获取有关具体补救步骤的指导。
注意:仅UCS服务器上的固件更新并不总是能完全解决此问题。操作系统级证书更新也可能是必要的,以确保在2026年UEFI证书到期日期之后继续使用安全引导功能。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
2.0 |
05-Jun-2026
|
重新格式化 |
1.0 |
08-Apr-2026
|
初始版本 |
反馈