缓解Microsoft安全引导证书过期
简介
本文档介绍如何缓解安全引导证书即将到期的问题,因为它适用于Cisco UCS环境。
背景信息
安全引导是内置在现代服务器和PC的统一可扩展固件接口(UEFI)中的一项基本安全功能。它通过确保仅允许执行经过数字签名和验证的软件引导加载程序、操作系统内核和UEFI驱动程序,在引导过程中建立信任链。此机制可保护系统免受Bootkit、Rootkit和其他低级恶意软件威胁。
Secure Boot的核心是Microsoft颁发的一组加密证书。在过去十年中,这些证书几乎嵌入到所有服务器和PC的UEFI固件中,包括Cisco UCS(统一计算系统)服务器。它们充当信任锚,用于验证引导时软件是否合法。
Microsoft现已披露,两个关键安全引导证书Microsoft Windows Production PCA 2011和Microsoft UEFI CA 2011将于2026年10月19日到期。此过期会影响整个硬件生态系统,思科已通过Cisco Bug ID CSCwr确认了UCS服务器产品组合的影响45526
问题
哪些证书即将过期?
此问题的核心是以下两个证书:
| 证书 | 角色 | 到期日期 |
|---|---|---|
| Microsoft Windows生产PCA 2011 | 签名并验证Microsoft Windows引导程序 | 2026年10月19日 |
| Microsoft UEFI CA 2011 | 签名并验证第三方UEFI驱动程序、选项ROM和非Windows引导程序 | 2026年10月19日 |
这些证书存储在UEFI固件安全启动密钥存储中:
- db(签名数据库) — 包含用于验证引导时二进制文件的受信任证书。
- KEK(密钥交换密钥) — 授权对签名数据库的更新。
- PK(平台密钥) — 信任的根,通常由OEM(例如思科)拥有。
-
为什么这是Cisco UCS服务器的问题?
Cisco UCS服务器 — 包括B系列(刀片)、C系列(机架)和X系列(模块化)平台,附带预加载到其UEFI BIOS固件中的Microsoft 2011安全引导证书。启用安全引导后,BIOS会在每个引导周期使用这些证书进行验证:
- Windows Server启动加载程序(例如,bootmgfw.efi),由Windows Production PCA 2011签名。
- 第三方UEFI组件,例如:
- 存储控制器(RAID)UEFI驱动程序
- 网络适配器PXE引导ROM
- POST期间加载的其他PCIe设备固件
这些组件通常由Microsoft UEFI CA 2011签名。
如果不执行操作会发生什么情况?
-
Windows Server无法启动
-
UEFI驱动程序和选项ROM被拒绝
在Microsoft开始使用新证书对Windows引导加载程序进行签名之前,不会发生这些故障。
思科已正式跟踪此问题,其网址为 思科漏洞ID CSCwr45526 
此缺陷承认:
- UCS服务器固件包含即将到期的Microsoft 2011安全引导证书。
- 需要固件更新才能将替换证书(Microsoft 2023证书)引入到UEFI密钥库中。
解决方案
应用Cisco UCS固件更新
已更新受影响的UCS平台的固件,包括新的Microsoft安全引导证书:
| 新证书 | 替换 |
|---|---|
| Microsoft Windows UEFI CA 2023 | Microsoft Windows生产PCA 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
操作步骤:
- 监控Cisco Bug ID CSCwr45526 在Cisco Bug Search Tool上查找固定固件版本和版本时间表。
- 下载并部署更新后的固件(适用于您的特定UCS平台(B系列、C系列和X系列)。
- 使用思科管理工具进行固件升级:
- Cisco Intersight -对于云托管环境,请使用Intersight固件管理策略大规模协调更新。
- Cisco UCS Manager(UCSM)-用于域管理的B系列和C系列服务器。
- 思科IMC(集成管理控制器) — 适用于独立C系列机架式服务器。
下表显示了包含更新证书的修补程序的最低固件版本:
1.独立机架服务器(HUU)
| 服务器型号 | 固件版本 |
|---|---|
| C125处理器 | 4.3.2.260007 |
| UCS C220 M5 | 4.3.2.260007 |
| UCS C220 M6 | 4.3.6.260017,6.0.2.260044 |
| UCS C220 M7 | 4.3.6.260017,6.0.2.260044 |
| UCS C220 M8 | 4.3.6.260017,6.0.2.260044 |
| UCS C225 M6 | 4.3.6.260017,6.0.2.260044 |
| UCS C225 M8 | 4.3.6.260017,6.0.2.260044 |
| UCS C240 M5 | 4.3.2.260007 |
| UCS C240 M6 | 4.3.6.260017,6.0.2.260044 |
| UCS C240 M7 | 4.3.6.260017,6.0.2.260044 |
| UCS C240 M8 | 4.3.6.260017,6.0.2.260044 |
| UCS C245 M6 | 4.3.6.260017,6.0.2.260044 |
| UCS C245 M8 | 4.3.6.260017,6.0.2.260044 |
| UCS C480 M5 | 4.3.2.260007 |
| UCS S3260 | 4.3.6.260017 |
| UCS XE130C M8 | 6.0.2.260042 |
2.连接到Intersight(IMC)的机架式服务器
| IMC固件版本 |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
3. IMM服务器
| 服务器型号 | 固件版本 |
|---|---|
| UCS B200 M5 | 5.4.0.260011 |
| UCS B480 M5 | 5.4.0.260011 |
| UCS B200 M6 | 5.4.0.260011,6.0.2.260040 |
| UCS 210C M6 | 5.4.0.260009,6.0.2.260040 |
| UCS 210C M7 | 5.4.0.260010,6.0.2.260040 |
| UCS 410C M7 | 5.4.0.260010,6.0.2.260040 |
| UCS 210C M8 | 5.4.0.260010,6.0.2.260040 |
| UCS 215C M8 | 5.4.0.260010,6.0.2.260040 |
| UCS 410C M8 | 6.0.2.260040 |
4. UCSM托管服务器
| UCSM固件版本 |
|---|
| 4.3(6f)UCSM |
| 6.0(2b)UCSM |
根据UCS服务器上运行的操作系统,可能需要进行其他配置以解决UEFI证书过期问题。思科建议咨询相应的操作系统供应商,获取任何操作系统特定补救步骤的指导。
注意:仅UCS服务器上的固件更新可能无法完全解决此问题。操作系统级别的证书更新可能也是必要的,以确保在2026 UEFI证书到期日期之后继续使用安全引导功能。
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
08-Apr-2026
|
初始版本 |
反馈