In diesem Wiki-Artikel zeige ich Ihnen, wie sie das Secure Boot Zertifikat auslesen können.
Die bisherigen Zertifikate wurden 2011 ausgestellt, welche dieses Jahr auslaufen.
Begriffserklärung:
| Auslaufende Zertifikate | Auslauf Datum | Neues Zertifikat | Speicherort | Zweck |
|---|---|---|---|---|
| Microsoft Corporation KEK CA 2011 | Juni 2026 | Microsoft Corporation KEK 2K CA 2023 | Im KEK gespeichert | Signiert Updates für DB und DBX. |
| Microsoft Windows Production PCA 2011 | Okt 2026 | Windows UEFI CA 2023 | In Datenbank gespeichert | Wird zum Signieren des Windows-Startladeprogramms verwendet. |
| Microsoft UEFI CA 2011* | Juni 2026 | Microsoft UEFI CA 2023 | In Datenbank gespeichert | Signiert Startladeprogramme von Drittanbietern und EFI-Anwendungen. |
| Microsoft UEFI CA 2011* | Juni 2026 | Microsoft Option ROM UEFI CA 2023 | In Datenbank gespeichert | Signiert Option-ROMs von Drittanbietern |
*Während der Verlängerung des Microsoft Corporation UEFI CA 2011-Zertifikats trennen zwei Zertifikate die Bootloadersignatur von der Option-ROM-Signatur.
Dies ermöglicht eine präzisere Kontrolle über die Systemvertrauensstellung. Systeme, die Option-ROMs vertrauen müssen, können z. B. die Microsoft Option ROM UEFI CA 2023 hinzufügen, ohne dass für Startladeprogramme von Drittanbietern eine Vertrauensstellung hinzugefügt wird.
Windows startet und funktioniert weiterhin wie gewohnt. Auch Updates können weiterhin heruntergeladen und installiert werden.
Jedoch können keine Updates für den frühen Boot Prozess installiert werden. Das betrifft den Windows Boot Manager, Secure Boot Datenbanken, Revocation Listen oder Behebungen für neu entdeckte Boot Level Schwachstellen.
Diese Auswirkungen reduzieren den Schutz der Geräte vor kommenden Gefahren, welche auf Secure Boot vertrauen wie Bitlocker Hardening oder Bootloader von Drittanbietern.
Die Gültigkeit der installierten Zertifikate kann über die Windows Sicherheits-App geprüft werden.
Windows-Sicherheit > Gerätesicherheit > Sicherer Start
Hier gibt es drei Mögliche Szenarien.
Alle Zertifikatsupdates wurden angewendet.
Es wird keine Automatische Aktualisierung ermöglicht. Man muss sich an den Hardware Hersteller wenden.
Das Gerät kann keine erforderlichen Updates empfangen.
Bei einem Fehlenden Windows Update kann es passieren, dass dieser Menüpunkt keinen Hinweis auf die Zertifikate liefert.
In diesem Fall kann das Zertifikat mit einem Workaround auch manuell ausgelesen werden.
Mit folgenden PowerShell Befehl lassen sich die Zertifikate als .bin an einem Beliebigen Speicherort sichern.
wiki$var = Get-SecureBootUEFI -Name db; [System.IO.File]::WriteAllBytes("C:\Users\Administrator\Documents\db.bin", $var.Bytes)
Der Pfad lässt sich beliebig anpassen.
Anschließend muss die db.bin Datei auf einem Linux System (z.B. WSL) mit den efitools auf die Zertifikate aufgeteilt werden.
sudo apt update && apt install efitools
sudo sig-list-to-certs db.bin cert
Jetzt sollten 5 Zertifikate im aktuellen Verzeichnis erstellt worden sein: cert-0.der cert-1.der cert-2.der cert-3.der cert-4.der
Den Inhalt dieser Zertifikate kann man mit Openssl auslesen.
openssl x509 -in cert-0.der -inform DER -text -noout
Wobei der Datei Name "cert-0.der" an das jeweilige Zertifikat angepasst werden muss.
Wichtig hierbei ist die Zeile Validity. Zeigt diese den folgenden Wert an, läuft das Zertifikat im Juni 2026 aus:
Validity
Not Before: Jun 27 21:22:45 2011 GMT
Not After : Jun 27 21:32:45 2026 GMT
Es gibt mehrere Wege das Zertifikat zu aktualisieren. Die einfachste und Beste Methode erfolgt über ein BIOS Update, wobei der Hardware Hersteller die neuen Zertifikate bereits integriert hat.
 |
Autor: Thomas-Krenn.AG Bei der Thomas-Krenn.AG achten wir auf den bestmöglichen Service. Um dem gerecht zu werden, haben wir unser Thomas-Krenn Wiki ins Leben gerufen. Hier teilen wir unser Wissen mit Ihnen und informieren Sie über Grundlagen und Aktuelles aus der IT-Welt. Ihnen gefällt unsere Wissenskultur und Sie wollen Teil des Teams werden? Besuchen Sie unsere Stellenangebote.
|
