緩解Microsoft安全引導證書過期
簡介
本文檔介紹如何緩解安全引導證書在與Cisco UCS環境相關時即將到期的問題。
背景資訊
安全啟動是內建在現代伺服器和PC的統一可擴展韌體介面(UEFI)中的一個基礎安全功能。它通過確保僅允許執行經過數位簽章和驗證的軟體載入程式、作業系統核心和UEFI驅動程式,在引導過程中建立信任鏈。此機制可保護系統免受Bootkit、Rootkit和其他低級惡意軟體威脅。
Secure Boot的核心是Microsoft頒發的一組加密證書。這些證書嵌入在過去十年中出廠的幾乎每台伺服器和PC的UEFI韌體中,包括Cisco UCS(統一計算系統)服務器。它們充當信任錨點,用於驗證引導時軟體是否合法。
Microsoft現已披露,兩個關鍵的安全引導證書Microsoft Windows Production PCA 2011和Microsoft UEFI CA 2011將於2026年10月19日過期。此過期影響整個硬體生態系統,思科已通過思科錯誤ID CSCwr45526確認了對UCS伺服器產品組合的影響
問題
哪些證書即將過期?
此問題的核心是以下兩個證書:
| 憑證 | 角色 | 到期日期 |
|---|---|---|
| Microsoft Windows生產PCA 2011 | 簽名並驗證Microsoft Windows載入程式 | 2026年10月19日 |
| Microsoft UEFI CA 2011 | 簽名並驗證第三方UEFI驅動程式、選項ROM和非Windows載入程式 | 2026年10月19日 |
這些證書儲存在UEFI韌體安全啟動金鑰儲存區中:
- db(簽名資料庫) — 包含用於驗證啟動時間二進位制檔案的受信任證書。
- KEK(金鑰交換金鑰) — 授權對簽名資料庫的更新。
- PK(平台金鑰) — 信任的根,通常由OEM(例如,思科)擁有。
-
為什麼這是Cisco UCS伺服器的問題?
Cisco UCS伺服器 — 包括B系列(刀片)、C系列(機架)和X系列(模組化)平台,隨附預載入到其UEFI BIOS韌體中的Microsoft 2011安全引導證書。啟用安全引導後,BIOS會在每個引導週期使用這些證書進行驗證:
- Windows Server引導載入程式(例如bootmgfw.efi),由Windows Production PCA 2011簽名。
- 第三方UEFI組件,如:
- 儲存控制器(RAID)UEFI驅動程式
- 網路介面卡PXE引導ROM
- POST期間載入的其他PCIe裝置韌體
這些元件通常由Microsoft UEFI CA 2011簽名。
如果不執行任何操作會發生什麼情況?
-
Windows Server無法啟動
-
UEFI驅動程式和選項ROM被拒絕
在Microsoft開始使用新證書對Windows載入程式進行簽名之前,不會出現這些故障。
思科已正式跟蹤此問題,其網址為 思科錯誤ID CSCwr45526 
此缺陷承認:
- UCS伺服器韌體包含即將到期的Microsoft 2011安全引導證書。
- 需要韌體更新才能將替換證書(Microsoft 2023證書)引入到UEFI金鑰儲存中。
解決方案
應用Cisco UCS韌體更新
已更新受影響的UCS平台的韌體,包括新的Microsoft安全引導證書:
| 新證書 | 替換 |
|---|---|
| Microsoft Windows UEFI CA 2023 | Microsoft Windows生產PCA 2011 |
| Microsoft UEFI CA 2023 | Microsoft UEFI CA 2011 |
操作步驟:
- 監控思科錯誤ID CSCwr45526 ,瞭解固定韌體版本和版本的時間表。
- 下載並部署更新後的韌體(如果適用於您的特定UCS平台(B系列、C系列和X系列)。
- 使用思科管理工具進行韌體升級:
- Cisco Intersight -對於雲託管環境,請使用Intersight韌體管理策略來大規模協調更新。
- Cisco UCS Manager(UCSM) — 用於域管理的B系列和C系列伺服器。
- 思科IMC(整合管理控制器) — 適用於獨立C系列機架式伺服器。
下表顯示了包含更新證書的修復程式的最低韌體版本:
1.獨立機架式伺服器(HUU)
| 伺服器型號 | 韌體版本 |
|---|---|
| UCS C125 | 4.3.2.260007 |
| UCS C220 M5 | 4.3.2.260007 |
| UCS C220 M6 | 4.3.6.260017、6.0.2.260044 |
| UCS C220 M7 | 4.3.6.260017、6.0.2.260044 |
| UCS C220 M8 | 4.3.6.260017、6.0.2.260044 |
| UCS C225 M6 | 4.3.6.260017、6.0.2.260044 |
| UCS C225 M8 | 4.3.6.260017、6.0.2.260044 |
| UCS C240 M5 | 4.3.2.260007 |
| UCS C240 M6 | 4.3.6.260017、6.0.2.260044 |
| UCS C240 M7 | 4.3.6.260017、6.0.2.260044 |
| UCS C240 M8 | 4.3.6.260017、6.0.2.260044 |
| UCS C245 M6 | 4.3.6.260017、6.0.2.260044 |
| UCS C245 M8 | 4.3.6.260017、6.0.2.260044 |
| UCS C480 M5 | 4.3.2.260007 |
| UCS S3260 | 4.3.6.260017 |
| UCS XE130C M8 | 6.0.2.260042 |
2.連線到Intersight(IMC)的機架式伺服器
| IMC韌體版本 |
|---|
| IMC-6.0.2.260044 |
| IMC-6.0.2.260043 |
| IMC-6.0.2.260042 |
| IMC-6.0.2.260040 |
| IMC-6.0.2.260026 |
| IMC-5.4.0.260011 |
| IMC-5.4.0.260010 |
| IMC-5.4.0.260009 |
| IMC-4.3.6.260017 |
| IMC-4.3.2.260007 |
3. IMM伺服器
| 伺服器型號 | 韌體版本 |
|---|---|
| UCS B200 M5 | 5.4.0.260011 |
| UCS B480 M5 | 5.4.0.260011 |
| UCS B200 M6 | 5.4.0.260011、6.0.2.260040 |
| UCS 210C M6 | 5.4.0.260009、6.0.2.260040 |
| UCS 210C M7 | 5.4.0.260010、6.0.2.260040 |
| UCS 410C M7 | 5.4.0.260010、6.0.2.260040 |
| UCS 210C M8 | 5.4.0.260010、6.0.2.260040 |
| UCS 215C M8 | 5.4.0.260010、6.0.2.260040 |
| UCS 410C M8 | 6.0.2.260040 |
4. UCSM託管伺服器
| UCSM韌體版本 |
|---|
| 4.3(6f)UCSM |
| 6.0(2b)UCSM |
根據UCS伺服器上運行的作業系統,可能需要進行其他配置來解決UEFI證書過期問題。思科建議諮詢相應的作業系統供應商,以獲得任何特定於作業系統的補救步驟的指導。
附註:僅UCS伺服器上的韌體更新可能無法完全解決此問題。作業系統級證書更新對於確保在2026 UEFI證書到期日期之後繼續安全啟動功能可能也是必要的。
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
08-Apr-2026
|
初始版本 |
意見