VMware-Forum

Hallo zusammen,

wir haben ein vCenter 8.0.3 und wollen bei unseren Windows Servern die UEFI Zertifikate erneuern.
Dazu sind wir nach diesem Artikel https://github.com/cjee21/Check-UEFISecureBootVariables vorgegangen.

Nach dem Restart wurde die UEFI DB aktualisiert.

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ (revoked: True)
√ VMware Secure Boot Signing (revoked: False)

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
X Microsoft Option ROM UEFI CA 2023
√ (revoked: True)
√ VMware Secure Boot Signing (revoked: False)

Nur die KEK CA bringt einen Fehler.

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Hat jemand eine Idee, wie ich das beheben kann?

Das Problem beim KEK ist nach meinem Wissen, dass das Update mit dem PK signiert sein muss - der zur virtuellen VMWare UEFI Firmware und damit VMWare gehört.
(Die "UEFI DB" Updates können bis Juni auch mit dem 2011er KEK signiert sein.)
Das kann Microsoft nicht. Das muss VMWare machen.

Als BIOS-Version wird mir folgendes angezeigt:

Model: VMware7,1
BIOS: VMware, Inc., VMW71.00V.24504846.B64.2501180334, VMW71.00V.24504846.B64.2501180334, INTEL - 6040000

Wird die BIOS-Version vom ESXi-Host (hier HP-Server) festgelegt?

Die virtuelle Firmware/BIOS ist Bestandteil des Hypervisors. Meine VMs auf den ESXi 8.0.3 Servern zeigen alle das "X" beim KEK 2023 - die VMs auf einem aktuellen Hyper-V (Server 2025) nicht.