Leitfaden zum Ablauf von Microsoft Secure Boot-Zertifikaten

In diesem Dokument finden Sie eine Anleitung zum Aktualisieren von Compute Engine-Shielded VM-Instanzen, damit sie die aktualisierten Microsoft Secure Boot-Zertifikate für UEFI (Unified Extensible Firmware Interface) Secure Boot verwenden.

UEFI Secure Boot ist ein Sicherheitsstandard, der von Shielded VMs verwendet wird, um sicherzustellen, dass während des VM-Startvorgangs nur vertrauenswürdige Software und Firmware ausgeführt werden. Zur Unterstützung von Secure Boot auf verschiedenen Betriebssystemen verwaltet Microsoft die folgenden Zertifikate.

Ablaufende Secure Boot-Zertifikate

Name des Zertifikats Rolle Ablaufdatum
Microsoft Corporation UEFI CA 2011 Signiert Bootloader von Drittanbietern (z. B. Linux Shim) 27. Juni 2026
Microsoft Windows Production PCA 2011 Signiert den Windows-Bootloader 19. Oktober 2026
Microsoft Corporation KEK CA 2011 Wird verwendet, um die DB und DBX zu aktualisieren 24. Juni 2026

Wenn Sie Secure Boot auf Compute Engine-Instanzen verwenden, die vor dem 7. November 2025 erstellt wurden, müssen Sie die aktualisierten Zertifikate auf Ihren Instanzen installieren, um potenzielle Startprobleme zu vermeiden. Dieses Update ist auch für Compute-Instanzen mit Software zur vollständigen Festplattenverschlüsselung (Full Disk Encryption, FDE), einschließlich BitLocker, oder mit Secret Sealing für vTPM-Plattformkonfigurationsregister (Platform Configuration Registers, PCRs) von entscheidender Bedeutung. In dieser Anleitung wird beschrieben, wie Sie betroffene Instanzen identifizieren und die erforderlichen Updates durchführen.

Compute-Instanzen, die am oder nach dem 7. November 2025 erstellt wurden, enthalten die aktualisierten Zertifikate und erfordern keine weiteren Maßnahmen. Außerdem hat der Ablauf des Secure Boot-Zertifikats keine Auswirkungen auf Folgendes:

  • Instanzen, die keine vTPM-Plattformkonfigurationsregister (PCRs) für Secret Sealing verwenden und für die Secure Boot nicht aktiviert ist. Secure Boot ist beim Erstellen einer Shielded VM-Instanz standardmäßig nicht aktiviert.
  • Instanzen, auf denen Container-Optimized OS (COS) ausgeführt wird.
  • Instanzen, bei denen Sie Ihren eigenen Secure Boot-Plattformschlüssel (Platform Key, PK) oder Schlüsselregistrierungsschlüssel (Key Enrollment Key, KEK) angeben.

Für Compute-Instanzen, die vor dem 7. November 2025 erstellt wurden, wird empfohlen, diese Instanzen zu neuen Instanzen zu migrieren, die am oder nach diesem Datum erstellt wurden. Für Compute-Instanzen, die Sie nicht neu erstellen können, plant Google, in diesem Dokument Anleitungen für manuelle Updates bereitzustellen, sobald diese verfügbar sind.

Auswirkungen des Ablaufs von Secure Boot-Zertifikaten auf Shielded VM

Wenn diese Funktion aktiviert ist, erzwingt Shielded VM Secure Boot mithilfe der UEFI-Firmware, die eine Reihe vertrauenswürdiger Zertifikate (in der Variablen db) verwaltet, um die Signaturen von Binärdateien der Bootsequenz zu überprüfen. Wenn beispielsweise ein Betriebssystemupdate einen Bootloader durch einen ersetzt, der nur von Microsoft UEFI CA 2023 signiert wurde, und die Firmware der Compute-Instanz dieser Zertifizierungsstelle nicht vertraut, schlägt die Secure Boot-Überprüfung fehl und Secure Boot beendet den Startvorgang.

Weitere Informationen zu dieser Umstellung finden Sie in den Anleitungen von Microsoft und anderen Betriebssystemanbietern:

Auswirkungen auf das Betriebssystem

Wenn Sie Secure Boot auf einer Shielded VM-Instanz aktiviert haben, die vor dem 7. November 2025 erstellt wurde, muss das Gastbetriebssystem dem Microsoft UEFI CA 2023-Zertifikat vertrauen. Wenn Sie die neuen Zertifikate nicht installieren, können bei der Compute-Instanz nach einem Update, das einen Bootloader enthält, der nur mit dem Zertifikat von 2023 signiert wurde, Startprobleme auftreten. Wenn Sie keine Maßnahmen ergreifen, können Sie möglicherweise keine neuen Bootloader- oder Kernel-Updates anwenden, die Binärdateien enthalten, die nur mit dem Zertifikat von 2023 signiert wurden. Dadurch werden Systeme möglicherweise anfälliger für bestimmte Angriffe. Wenn Sie für Compute-Instanzen, die vor dem 7. November 2025 erstellt wurden, vor Mitte 2026 keine Zertifikatsupdates anwenden, sehen Windows-Kunden möglicherweise die Ereignis-ID 1801 („Secure Boot CA/keys need to be updated“) im Systemereignisprotokoll.

  • Von Google bereitgestellte öffentliche Images:Wir empfehlen, die Compute-Instanz neu zu erstellen. Durch das Neuerstellen der Instanz wird sichergestellt, dass standardmäßig die neueste Firmware, die neuesten Zertifikate und die neueste Betriebssystemkonfiguration verwendet werden.
  • Manuelles Update:Wenn Sie die Instanz nicht neu erstellen können, können Sie die Firmware der Instanz nicht mit neuen Zertifikaten aktualisieren. Sie müssen warten, bis Google die Anleitung für das manuelle Update bereitstellt.
  • Benutzerdefinierte oder importierte Images:Sie müssen dafür sorgen, dass Ihre Images dem Microsoft UEFI CA 2023-Zertifikat vertrauen. Dazu müssen Sie Ihre benutzerdefinierten Images mit einem von Google bereitgestellten Basis-Image neu erstellen oder die entsprechenden Zertifikate manuell bereitstellen.

Erforderliche Aktionen

Wenn Sie Compute-Instanzen haben, die vor dem 7. November 2025 erstellt wurden und für die Secure Boot aktiviert ist, oder wenn sie Software zur vollständigen Festplattenverschlüsselung (Full Disk Encryption, FDE) verwenden (einschließlich BitLocker unter Windows und anderer FDE-Software unter Linux), den Virtual Secure Mode (VSM) unter Windows oder Secret Sealing in vTPM-Plattformkonfigurationsregistern (PCRs), müssen Sie die in den folgenden Abschnitten beschriebenen Maßnahmen ergreifen. Diese Anleitung gilt auch, wenn Sie zu einem Maschinen-Image von vor dem 7. November 2025 zurückkehren.

Wichtig:Wenn Sie Software zur vollständigen Festplattenverschlüsselung (Full Disk Encryption, FDE) verwenden, einschließlich BitLocker, müssen Sie Zugriff auf Ihre Wiederherstellungsschlüssel haben, bevor Sie Änderungen vornehmen.

Betroffene Compute-Instanzen identifizieren und Update planen

Wir empfehlen, dass Sie bis zum 24. Juni 2026 die betroffenen Compute-Instanzen identifizieren und die folgenden Schritte ausführen, um sich auf das Update vorzubereiten:

  1. Instanzen identifizieren: Mit dem gcloud compute instances list Befehl können Sie Instanzen identifizieren, für die Secure Boot aktiviert ist und die vor dem Stichtag erstellt wurden:

    gcloud compute instances list \
--filter="creationTimestamp < '2025-11-07' AND shieldedInstanceConfig.enableSecureBoot=true" \
--format="table(name, zone, creationTimestamp, shieldedInstanceConfig.enableSecureBoot:label=SECURE_BOOT)"

  2. Datenintegrität sicherstellen:Sorgen Sie dafür, dass Sie aktuelle Datensicherungen und Zugriff auf alle Wiederherstellungsschlüssel für die vollständige Festplattenverschlüsselung (Full Disk Encryption, FDE) oder BitLocker haben, bevor Sie Änderungen vornehmen.

  3. Empfehlung:Migrieren Sie zu einer Compute-Instanz, die am oder nach dem 7. November 2025 erstellt wurde und die erforderlichen Zertifikate enthält.

  4. Anleitung für das manuelle Update:Google plant, auf dieser Seite eine Anleitung zum manuellen Aktualisieren von Zertifikaten auf Instanzen mit langer Laufzeit bereitzustellen, nachdem die Tests abgeschlossen sind und die erforderlichen Befehle verfügbar sind. Google empfiehlt derzeit nicht, die Zertifikate db oder KEK manuell zu aktualisieren. Warten Sie auf weitere Anweisungen.

Überprüfung

Nachdem Sie die Firmware und das Betriebssystem für Ihre Compute-Instanzen aktualisiert haben, können Sie prüfen, ob die Zertifikate von 2023 vorhanden sind.

Linux

  1. Wenn efi-readvar nicht vorhanden ist, installieren Sie das Paket efitools. Führen Sie unter Linux den Befehl für Ihre Distribution aus, um es zu installieren:

    Debian/Ubuntu

    sudo apt update && sudo apt install efitools

    RHEL/CentOS/Fedora

    sudo yum install efitools

    SLES

    sudo zypper install efitools

  2. Prüfen Sie, ob die Zertifikate in den Variablen KEK und db vorhanden sind:

sudo efi-readvar -v KEK | grep "KEK 2K CA 2023"
sudo efi-readvar -v db | grep "UEFI CA 2023"

Windows (PowerShell)

Führen Sie die folgenden Befehle in einer PowerShell-Eingabeaufforderung mit Administratorrechten aus. Jeder Befehl sollte True zurückgeben.

# Check for Microsoft KEK 2K CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

# Check for UEFI CA 2023
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'UEFI CA 2023'

Fehlerbehebung

Wenn eine Instanz nach Juni 2026 aufgrund eines Secure Boot-Fehlers nicht gestartet werden kann, haben Sie folgende Möglichkeiten, sie wiederherzustellen:

  • Secure Boot vorübergehend deaktivieren:So können Sie die Instanz starten, um Updates anzuwenden.

    Hinweis:Wenn Sie Secure Boot deaktivieren, ändern sich die PCR-Werte (insbesondere PCR7), was sich auf die Funktionen für Secret Sealing oder Festplattenverschlüsselung auswirken kann.

    Führen Sie den folgenden Befehl aus, um Secure Boot zu deaktivieren:

    gcloud compute instances update INSTANCE_NAME --no-shielded-secure-boot

    Nachdem die Instanz gestartet wurde, wenden Sie die erforderlichen Betriebssystem- und Bootkomponenten-Updates an und aktivieren Sie Secure Boot wieder:

    gcloud compute instances update INSTANCE_NAME --shielded-secure-boot

  • Aus Sicherung wiederherstellen:Stellen Sie die Instanz aus einem Maschinen-Image wieder her, das vor Beginn der Startprobleme erstellt wurde.

  • Instanz neu erstellen:Erstellen Sie die Instanz neu und stellen Sie die Daten aus einem Snapshot wieder her.

Wenn weiterhin Probleme auftreten oder Sie Hilfe benötigen, wenden Sie sich an Cloud Customer Care.

Häufig gestellte Fragen

In diesem Abschnitt finden Sie Antworten auf häufig gestellte Fragen zum Ablauf des Microsoft Secure Boot-Zertifikats.

Wann laufen Secure Boot-Zertifikate ab?

Die Secure Boot-Zertifikate von Microsoft laufen im Jahr 2026 ab. Zum Beispiel:

  • Die beiden wichtigsten Zertifikate, deren Lebenszyklus sich dem Ende nähert, sind die Microsoft Corporation UEFI CA 2011 (läuft im Juni 2026 ab), die Bootloader von Drittanbietern (z. B. Linux Shim) signiert, und die Microsoft Windows Production PCA 2011 (läuft im Oktober 2026 ab), die den Windows-Bootloader signiert.

Betrifft der Ablauf sowohl Windows- als auch Linux-Kunden?

Ja, der Ablauf betrifft sowohl Windows- als auch Linux-Kunden.

Wer ist vom Ablauf des Zertifikats betroffen?

Dieses Problem betrifft möglicherweise nur Kunden mit Compute-Instanzen mit langer Laufzeit, die vor dem 7. November 2025 erstellt wurden. Betroffene Instanzen sind:

  • Linux- und Windows-VMs, für die Secure Boot aktiviert ist.
  • Alle Instanzen, die vTPM-Plattformkonfigurationsregister (PCRs) für Secret Sealing verwenden.
  • Windows-Compute-Instanzen, die Festplattenverschlüsselung (BitLocker) oder den Virtual Secure Mode (VSM) verwenden.
  • Linux-VMs, die vollständige Festplattenverschlüsselung (Full Disk Encryption, FDE) verwenden.
  • Instanzen, die zu einem Maschinen-Image von vor November 2025 zurückkehren.

Wer ist vom Ablauf des Zertifikats nicht betroffen?

Sie sind nicht betroffen, wenn Sie in eine der folgenden Kategorien fallen:

  • Sie verwenden kein Secure Boot, kein Secret Sealing in vTPM-PCRs und keine vollständige Festplattenverschlüsselung (einschließlich BitLocker).
  • Sie verwenden Linux-Instanzen mit Container-Optimized OS (COS).
  • Sie stellen Ihren eigenen Plattformschlüssel (Platform Key, PK) oder Schlüsselregistrierungsschlüssel (Key Enrollment Key, KEK) bereit. Wenn Sie Ihren eigenen PK oder KEK verwenden, verwendet Compute Engine Ihre benutzerdefinierten Schlüssel. Der Ablauf der Standardzertifikate hat also keine Auswirkungen auf Sie. Sie sind jedoch dafür verantwortlich, Ihre eigenen Schlüssel zu verwalten und dafür zu sorgen, dass Ihre Zertifikate auf dem neuesten Stand sind.

Was passiert, wenn ich nichts unternehme?

Wenn Sie keine Maßnahmen ergreifen, können Sie möglicherweise keine neuen Bootloader- oder Kernel-Updates anwenden, die Binärdateien enthalten, die nur mit dem Zertifikat von 2023 signiert wurden. Dadurch werden Systeme möglicherweise anfälliger für bestimmte Angriffe. Wenn Sie für Compute-Instanzen, die vor dem 7. November 2025 erstellt wurden, vor Mitte 2026 keine Zertifikatsupdates anwenden, sehen Windows-Kunden möglicherweise die Ereignis-ID 1801 („Secure Boot CA/keys need to be updated“) im Systemereignisprotokoll.

Wie sollte ich mich auf den Ablauf des Zertifikats vorbereiten?

So bereiten Sie sich vor:

  • Identifizieren:Prüfen Sie Ihre Nutzung von Shielded VMs, Secure Boot, vollständiger Festplattenverschlüsselung (Full Disk Encryption, FDE), BitLocker oder anderer Software, die auf vTPM-PCRs basiert.
  • Wiederherstellungsschlüssel und Sicherungen:Sorgen Sie dafür, dass Wiederherstellungsschlüssel (für FDE/BitLocker) und aktuelle Datensicherungen schnell verfügbar sind.
  • Images verwalten:Identifizieren Sie ältere benutzerdefinierte Images und stellen Sie ihre Verwendung ein oder sorgen Sie dafür, dass sie die neuen Zertifikate enthalten.
  • Migrieren:Erwägen Sie, alle Compute-Instanzen mit langer Laufzeit, die vor dem 7. November 2025 erstellt wurden, neu zu erstellen, da neue Instanzen bereits die erforderlichen Zertifikate enthalten.
  • Hinweis:Google empfiehlt derzeit nicht, Zertifikate manuell zu aktualisieren. Warten Sie auf weitere Anweisungen von Google, die wir in diesem Dokument veröffentlichen.

Was soll ich tun, wenn mein System nach Juni 2026 nicht mehr startet?

Wenn Sie der Meinung sind, dass dieses Problem einen Startfehler verursacht hat, lesen Sie den Abschnitt zu Fehlerbehebung.

Wie geht Google Cloud mit dem Ablauf der Microsoft Secure Boot-Zertifikate um?

Google Cloud hat die neuen Zertifikate automatisch für Compute-Instanzen hinzugefügt, die nach dem 7. November 2025 erstellt wurden. Nur Kunden, die ihre Compute-Instanzen von vor dem 7. November 2025 weiter ausführen möchten, müssen möglicherweise ein zukünftiges manuelles Update anwenden. Google empfiehlt jedoch, zu einer Instanz zu migrieren, die am oder nach dem 7. November 2025 erstellt wurde.

Nächste Schritte