緩解Microsoft安全引導證書過期
簡介
本文檔介紹如何緩解安全引導證書在與Cisco UCS環境相關時即將到期的問題。
背景資訊
安全啟動是內建在現代伺服器和PC的統一可擴展韌體介面(UEFI)中的基本安全功能。它通過確保僅允許執行經過數位簽章和驗證的軟體載入程式、作業系統核心和UEFI驅動程式,在引導過程中建立信任鏈。此機制可保護系統免受Bootkit、Rootkit和其他低級惡意軟體威脅。
Secure Boot的核心是Microsoft頒發的一組加密證書。這些證書嵌入在過去十年中出廠的幾乎每台伺服器和PC的UEFI韌體中,包括Cisco UCS(統一計算系統)伺服器。它們充當信任錨點,用於驗證引導時軟體是否合法。
Microsoft現已披露,兩個關鍵的安全引導證書Microsoft Windows Production PCA 2011和Microsoft UEFI CA 2011將於2026年10月19日到期。此過期影響整個硬體生態系統,思科已通過Cisco錯誤ID CSCwr45526確認對其UCS伺服器產品組合的影響。
問題
哪些證書即將過期?
此問題的核心是以下兩個證書:
| 憑證 | 角色 | 到期日期 |
|---|---|---|
| Microsoft Windows生產PCA 2011 | 簽名並驗證Microsoft Windows載入程式 | 2026年10月19日 |
| Microsoft UEFI CA 2011 | 簽名並驗證第三方UEFI驅動程式、選項ROM和非Windows載入程式 | 2026年10月19日 |
這些證書儲存在UEFI韌體安全啟動金鑰儲存區中:
- db(簽名資料庫) — 包含用於驗證啟動時間二進位制檔案的受信任證書。
- KEK(金鑰交換金鑰) — 授權對簽名資料庫的更新。
- PK(平台金鑰) — 信任的根,通常由OEM(例如,思科)擁有。
為什麼這是Cisco UCS伺服器的問題?
Cisco UCS伺服器 — B系列(刀片)、C系列(機架)和X系列(模組化)平台 — 附帶預載入到其UEFI BIOS韌體中的Microsoft 2011安全引導證書。啟用安全引導後,BIOS會在每個引導週期使用這些證書進行驗證:
- 由Windows Production PCA 2011簽名的Windows Server引導載入程式(例如bootmgfw.efi)。
- 第三方UEFI元件,例如:
- 儲存控制器(RAID)UEFI驅動程式
- 網路介面卡PXE引導ROM
- POST期間載入的其他PCIe裝置韌體
這些元件通常由Microsoft UEFI CA 2011簽名。
如果不執行任何操作會發生什麼情況?
-
Windows Server無法啟動。
-
UEFI驅動程式和選項ROM被拒絕。
附註:在Microsoft開始使用新證書對Windows載入程式進行簽名之前,不會出現這些故障。
思科已根據思科錯誤ID CSCwr45526正式追蹤此問題。
此缺陷承認:
- UCS伺服器韌體包含即將到期的Microsoft 2011安全引導證書。
- 需要韌體更新才能將替換證書(Microsoft 2023證書)引入到UEFI金鑰儲存中。
注意:如果UCS伺服器在舊版引導模式下運行,則不會發生安全引導證書問題。同樣,禁用安全引導的UEFI模式不會受到影響。
解決方案
應用Cisco UCS韌體更新
已更新受影響的UCS平台的韌體,包括新的Microsoft安全引導證書:
| 新證書 | 替換 |
|---|---|
| Microsoft Windows UEFI CA 2023 | Microsoft Windows生產PCA 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
操作步驟
- 在思科錯誤搜尋工具上監控Cisco錯誤ID CSCwr4526,瞭解固定韌體版本和版本時間表。
- 下載並部署更新後的韌體(如果適用於您的特定UCS平台(B系列、C系列和X系列)。
- 使用思科管理工具進行韌體升級:
- Cisco Intersight -對於雲託管環境,請使用Intersight韌體管理策略來大規模協調更新。
- Cisco UCS Manager(UCSM) — 用於域管理的B系列和C系列伺服器。
- 思科IMC(整合管理控制器) — 適用於獨立C系列機架式伺服器。
接下來的表格包含最低韌體版本,其中包含具有更新證書的修補程式,更高版本也包含修補程式:
Intersight託管模式(IMM) — 伺服器
1.刀鋒伺服器(B和X — 系列)
| 伺服器型號 | 韌體版本 |
|---|---|
| UCSB-B200-M5 | 5.4.0.260011 |
| UCSB-B480-M5 | 5.4.0.260011 |
| UCSB-B200-M6 | 5.4.0.260011、6.0.2.260040 |
| UCSX-210C-M6 | 5.4.0.260009、6.0.2.260040 |
| UCSX-210C-M7 | 5.4.0.260010、6.0.2.260040 |
| UCSX-410C-M7 | 5.4.0.260010、6.0.2.260040 |
| UCSX-210C-M8 | 5.4.0.260010、6.0.2.260040 |
| UCSX-215C-M8 | 5.4.0.260010、6.0.2.260040 |
| UCSX-410C-M8 | 6.0.2.260040 |
2.整合在Intersight管理模式(IMC)中的機架式伺服器(C系列)
| IMC韌體版本 |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
獨立機架式伺服器(C系列) — 主機升級實用程式(HUU)
| 伺服器型號 | 韌體版本 |
|---|---|
| UCSC-C125 | 4.3.2.260007 |
| UCSC-C220-M5 | 4.3.2.260007 |
| UCSC-C220-M6 | 4.3.6.260017、6.0.2.260044 |
| UCSC-C220-M7 | 4.3.6.260017、6.0.2.260044 |
| UCSC-C220-M8 | 4.3.6.260017、6.0.2.260044 |
| UCSC-C225-M6 | 4.3.6.260017、6.0.2.260044 |
| UCSC-C225-M8 | 4.3.6.260017、6.0.2.260044 |
| UCSC-C240-M5 | 4.3.2.260007 |
| UCSC-C240-M6 | 4.3.6.260017、6.0.2.260044 |
| UCSC-C240-M7 | 4.3.6.260017、6.0.2.260044 |
| UCSC-C240-M8 | 4.3.6.260017、6.0.2.260044 |
| UCSC-C245-M6 | 4.3.6.260017、6.0.2.260044 |
| UCSC-C245-M8 | 4.3.6.260017、6.0.2.260044 |
| UCSC-C480-M5 | 4.3.2.260007 |
| UCS-S3260-M5 | 4.3.6.260017 |
| UCSXE-130C-M8 | 6.0.2.260042 |
UCS管理器(UCSM) — 託管伺服器
| UCSM韌體版本 |
|---|
| 4.3(6f) |
| 6.0(2b) |
根據UCS伺服器上的作業系統,有時需要額外配置才能解決UEFI證書過期問題。思科建議聯絡相應的作業系統供應商,獲取有關特定補救步驟的指導。
附註:僅僅UCS伺服器上的韌體更新並不能完全解決問題。作業系統級證書更新對於確保在2026 UEFI證書到期日期之後繼續安全啟動功能也是必要的。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
2.0 |
05-Jun-2026
|
重新格式化 |
1.0 |
08-Apr-2026
|
初始版本 |
意見