Windows Server: Microsoft veröffentlicht Leitfaden zum Austausch ablaufender Secure-Boot-Zertifikate

Microsoft gibt Windows-Server-Admins Handreichung für Secure-Boot-Zertifikatswechsel

Bis Juni 2026 müssen IT-Verantwortliche die Secure-Boot-Zertifikate auf ihren Windows-Server-Systemen aktualisieren. Microsoft hat dafür nun einen strukturierten Leitfaden veröffentlicht, der den gesamten Prozess von der Bestandsaufnahme bis zur Fehlerbehebung abdeckt.

Hintergrund: Warum ein Zertifikatswechsel notwendig ist

Secure Boot ist eine etablierte Sicherheitsfunktion, die in Verbindung mit der UEFI-Schnittstelle arbeitet. Mithilfe kryptografischer Vertrauensanker – sogenannter Zertifizierungsstellen (CAs) – stellt sie sicher, dass Firmware und Boot-Komponenten vor der Ausführung als vertrauenswürdig eingestuft werden. Dadurch lässt sich das Risiko reduzieren, dass Schadsoftware bereits beim Startvorgang des Servers aktiv wird.

Wie alle kryptografischen Ressourcen haben auch Secure-Boot-Zertifikate eine begrenzte Gültigkeitsdauer. Die bislang genutzten 2011er-CAs laufen im Juni 2026 aus und müssen durch die 2023er-Versionen ersetzt werden. Server, auf denen nach diesem Datum noch die alten Zertifikate aktiv sind, entsprechen nicht mehr dem aktuellen Sicherheitsstandard.

Ein wesentlicher Unterschied zu Windows-PCs: Während Desktop-Systeme die neuen Zertifikate automatisch über den monatlichen Update-Mechanismus erhalten, müssen IT-Administratoren die Aktualisierung auf Windows-Server-Systemen manuell anstoßen. Lediglich für Windows Server 2025 zertifizierte Serverplattformen enthalten die neuen Zertifikate bereits ab Werk in der Firmware.

Der Leitfaden gilt ausdrücklich nicht für Azure Local-Hosts, Windows-PCs oder Hyper-V-VMs der ersten Generation.

Fünf Schritte zur Zertifikatsaktualisierung

Microsoft empfiehlt einen strukturierten Fünf-Schritte-Prozess:

Schritt 1 – Bestandsaufnahme: Zunächst sollten Administratoren prüfen, welche Server in ihrer Umgebung Secure Boot unterstützen und welchen Zertifikatsstatus sie aufweisen. Hierfür stehen PowerShell-Befehle sowie der Registrierungsschlüssel UEFICA2023Status zur Verfügung. Ziel ist es, diesen Wert auf allen verwalteten Systemen auf „Aktualisiert“ zu setzen.

Schritt 2 – Überwachung: Der Fortschritt der Zertifikatsbereitstellung lässt sich über den genannten Registrierungsschlüssel sowie über Windows-Ereignisprotokolle verfolgen. Eine erfolgreiche Bereitstellung meldet die Ereignis-ID 1808, Fehler werden über die ID 1801 signalisiert.

Schritt 3 – Firmware-Updates: Vor dem eigentlichen Zertifikatswechsel empfiehlt Microsoft, verfügbare OEM-Firmware-Updates einzuspielen. Aktualisierte Firmware kann Kompatibilitätsprobleme verhindern und die Akzeptanz der neuen Zertifikate sicherstellen. Ob ein Firmware-Update notwendig ist, hängt vom jeweiligen Gerät ab. Bei Systemen, deren Hersteller keinen Support mehr leistet, sind möglicherweise keine Updates verfügbar.

Schritt 4 – Bereitstellung: Für die eigentliche Zertifikatsverteilung stehen vier Optionen zur Wahl: über Registrierungsschlüssel, per Gruppenrichtlinie, über das Windows Configuration System (WinCS) oder durch Migration auf eine neue VM-Version mit nativer Unterstützung der 2023er-Zertifikate. Microsoft rät davon ab, verschiedene Bereitstellungsmethoden auf demselben Gerät zu kombinieren. In typischen Unternehmensumgebungen werden die Zertifikate innerhalb von rund zwölf Stunden nach Anwendung der jeweiligen Einstellung übertragen.

Schritt 5 – Fehlerbehebung: Tritt der Registrierungsschlüssel UEFICA2023Error mit einem Wert ungleich null auf, liegt ein Fehler vor. Weitere Hinweise liefern spezifische Ereignis-IDs: ID 1795 weist auf ein Problem bei der Übergabe der Zertifikate an die Firmware hin, ID 1803 deutet darauf hin, dass kein geeignetes KEK-Zertifikat für das Gerät gefunden werden konnte. In beiden Fällen empfiehlt Microsoft, den Gerätehersteller zu kontaktieren.

Frühzeitig handeln

Microsoft empfiehlt, die Vorbereitungen nicht auf die lange Bank zu schieben.

Auch interessant:

---