Secure-Boot: Zertifikatablauf steht an, Microsoft gibt weitere Hilfestellung

Die Secure-Boot-Zertifikate aus dem Jahr 2011 erreichen ihr Lebensende, sie laufen in diesen Tagen ab. Microsoft müht sich redlich seit einem Jahr, dass die Zertifikate weitreichend ausgetauscht werden, einige blinde Flecken gibt es offenbar aber noch immer. Daher reicht das Unternehmen nun eine Anleitung nach, mit der auch Linux-Systeme in der Microsoft-Cloud, virtuelle Maschinen auf Azure, auf neuen Zertifikatsstand kommen.

Darauf weist Microsoft im Windows-Release-Health-Messagecenter hin. Die Anleitung soll Hilfestellung für Linux auf virtuellen Maschinen in der Azure-Cloud liefern, auch für solche mit „Trusted Launch“ (vertrauenswürdiger Start) und „Confidential VMs“, bei denen Secure Boot aktiviert ist. Dafür stellt das Unternehmen jetzt Updates bereit, mit denen Admins sicherstellen können, weiterhin Zugriff auf Plattform-Updates zu erhalten und die Integrität des vertrauenswürdigen Starts beizubehalten. Microsoft empfiehlt Organisationen, die derartige Systeme einsetzen, jetzt die Planungen für Zertifikatsupdates anzugehen, um mögliche Störungen des Secure-Boot-Prozesses zu vermeiden.

Kompakte Hilfestellung

Die Anleitung ist kompakt gehalten und liefert knapp die nötigen Schritte, die IT-Verantwortliche nun nachvollziehen müssen. Auch einige Grenzen der Möglichkeiten mit Updates nennen die Autoren dort. Wenn vertrauliche VMs mit Linux vor dem April 2024 erstellt wurden, sollten Admins sie nicht manuell aktualisieren. Werte für die Laufwerksverschlüsselung sind dort im vTPM versiegelt, und es lässt sich offenbar nicht sicherstellen, dass die Full-Disk-Encryption-Keys nach einem Zertifikatsupdate damit neu versiegelt werden. Das führt dazu, dass die vertrauliche VM in den Wiederherstellungsmodus wechselt. Hier sollen Admins die alten vertraulichen VMs schlicht neu erstellen, sodass sie mit neuen Secure-Boot-Zertifikaten ausgestattet sind – ein spürbarer Mehraufwand.

(dmk)