Technische Grundlagen

Secure Boot verwendet in der UEFI-Firmware hinterlegte Zertifikate, beispielsweise von Microsoft, um beim Systemstart die digitalen Signaturen von Boot-Komponenten zu prüfen. Dadurch wird sichergestellt, dass nur unveränderte und von vertrauenswürdigen Herausgebern signierte Software geladen wird. Sie sind notwendig, um Manipulationen oder das Laden unsicherer Software zu verhindern. Der Prozess ist in den folgenden Abbildungen vereinfacht dargestellt.

Technische Grundlagen 1:Abb.1: Vereinfachter Bootprozess mit Secure Boot
Technische Grundlagen 2:Abb.2: Schlüsselabgleich während abgesichertem Bootprozess

Die erste Generation dieser Zertifikate ist von 2011 und läuft nach 15 Jahren Gültigkeit im Jahr 2026 aus: https://support.microsoft.com/de-de/topic/ablauf-des-windows-secure-boot-zertifikats-und-updates-der-zertifizierungsstelle-7ff40d33-95dc-4c3c-8725-a9b95457578e

Durch das Ablaufen der Zertifikate kann es zu Problemen beim Starten von Geräten kommen, wenn diese Zertifikate nicht rechtzeitig aktualisiert werden. Wenn dann alte Schlüssel in der UEFI-Firmware gespeichert sind, aber der Bootloader mit einem neuen Zertifikat signiert wurde, bootet Windows nicht mehr. Microsoft stellt seit 2023 neue Zertifikate bereit, die installiert werden müssen, um den sicheren Betrieb weiterhin zu gewährleisten.

Secure Boot bei Beckhoff

In der Beckhoff-Auslieferungskonfiguration ist Secure Boot standardmäßig deaktiviert. Das bedeutet, dass regulär gelieferte Geräte von dem bevorstehenden Ablauf der Microsoft Secure-Boot-Zertifikate nicht betroffen sind. Auswirkungen bestehen nur für Systeme, bei denen Secure Boot entweder als Sonderoption bereits ab Werk aktiviert wurde oder von Ihnen manuell eingeschaltet wurde. Auch in diesen Fällen tritt ein Problem nur dann auf, wenn:

  1. Ein Bootloader verwendet wird, der mit einem neuen Zertifikat signiert wurde (z.B. durch ein neues Windows-Image oder ein Windows-Update) und
  2. nicht der entsprechende Schlüssel in der UEFI-Firmware verfügbar ist.

Bei aktivem Secure Boot sollten Sie daher die Schlüssel in der UEFI-Firmware aktualisieren (siehe Aktualisierung der Secure-Boot-Keys), um einen störungsfreien Betrieb zu gewährleisten.

Sie können Secure Boot bereits jetzt manuell aktivieren. Zukünftig wird die Aktivierung mit den aktualisierten Microsoft Secure-Boot-Zertifikaten von 2023 standardmäßig unterstützt. Ab Werk ist Secure Boot mit der kostenfreien Sonderoption C9900-B655 verfügbar.