Secure Boot Sertifikasının Süresinin Dolması ve Elle Güncellenmesi
VMware tarafından yayınlanan 423893, 423919 numaralı makalelerde; ayrıca Microsoft tarafından yayınlanan 5062713 numaralı makalede; sanal sunucularda, Secure Boot sertifikalarının Haziran 2026'da sona erecek olması nedeniyle güncelleme hataları oluşabileceği bildirilmiştir. Bu dokümandaki yönergeler takip edilerek Secure Boot özelliği açık olan sanal sunucularda, geçersiz bir Platform Key (PK) imzası nedeniyle DB, DBX ve KEK listelerinin otomatik güncellenememesi sorunu giderilebilmektedir. İşlemlere başlamadan önce Turkcell Bulut destek ekiplerine bilgi verilmesi ve gerekli ön hazırlıkların Turkcell Bulut destek ekipleri tarafından yapıldıktan sonra aşağıdaki aksiyonların müşteri tarafından alınması gerekmektedir.
Detaylı bilgi için aşağıdaki bağlantılar incelenebilir.
https://knowledge.broadcom.com/external/article/423919
https://knowledge.broadcom.com/external/article/423893/secure-boot-certificate-expirations-and.html
1. Mevcut Durumun Tespiti
İşlemlere başlamadan önce sanal makinelerinizin bu durumdan etkilenip etkilenmediğini teyit etmek için aşağıdaki komutları PowerShell üzerinde çalıştırınız:
PowerShell
$pk = Get-SecureBootUEFI -Name PK
$bytes = $pk.Bytes
$cert = $bytes[44..($bytes.Length-1)]
[IO.File]::WriteAllBytes("PK.der", $cert)
certutil -dump PK.der
Certutil -dump çıktısında, Issuer (Yayınlayan) kısmında "Microsoft Corporation" veya ilgili OEM bilgilerinin görülmesi durumunda herhangi bir aksiyon alınmasına gerek yoktur. Eğer bu bilgiler görülmüyorsa aşağıdaki adımlara geçilmelidir.
2. Sanal Sunucuda Snapshot Alınması
- Sanal makine kapatılır.
- Sanal makine kapalıyken snapshot alınır.
3. Geçici Diskin Hazırlanması ve Sertifikanın Taşınması
Windows içerisindeki sertifikayı UEFI arayüzüne taşımak amacıyla geçici bir disk hazırlanır:
- Sanal Veri Merkezi (VDC) portali üzerinden 128 MB boyutunda bir "Named Disk" oluşturulur.
- Oluşturulan disk, "Attach" seçeneği kullanılarak işlem yapılacak sanal makinelere eklenir.
Disk Yapılandırma Parametreleri:
- Bus Sub-Type: Paravirtual SCSI controller
- Sharing Type: Disk
4. Diskin Formatlanması ve Sertifikanın Kopyalanması
Sanal makineye eklenen 128 MB boyutundaki disk üzerinde aşağıdaki adımlar izlenir:
- Disk Yönetimi (Disk Management) üzerinden yeni eklenen disk "Online" duruma getirilir ve FAT32 dosya sistemiyle formatlanır. (UEFI ara yüzünün diski görebilmesi için FAT32 olması gerekmektedir.)
- Microsoft’un resmi GitHub sayfasından WindowsOEMDevicesPK.der dosyası indirilir.
- İndirilen .der uzantılı sertifika dosyası hazırlanan 128 MB’lık diskin içine kopyalanır.
5. Güncelleme işleminin yapılması için sistemin BIOS ekranında açılması gerekmektedir.
- Sanal makine kapatılır.
- SVM üzerinden Sanal makineye tıklanır General -> Edit -> Enter Boot Setup seçeneği aktif hale getirilir.
6. BIOS / UEFI Arayüzü Üzerinden PK Güncelleme
- Sanal makine power on edilir. Sistem doğrudan BIOS setup ekranında açılacaktır.
- Enter Setup -> Secure Boot Configuration -> PK Options -> Enroll PK -> Enroll PK Using File
- Yeni oluşturulan disk içindeki WindowsOEMDevicesPK.der dosyası seçilir.
- Commit Changes and Exit diyerek işlem kaydedilir ve BIOS ekranından çıkılır.
7. Doğrulama
Sistem açıldıktan sonra işlemin başarılı olup olmadığını kontrol etmek için PowerShell tekrar yönetici olarak çalıştırılır ve ilk maddedeki kontrol komutu yeniden girilir:
PowerShell
$pk = Get-SecureBootUEFI -Name PK
$bytes = $pk.Bytes
$cert = $bytes[44..($bytes.Length-1)]
[IO.File]::WriteAllBytes("PK.der", $cert)
certutil -dump PK.der
Çıktıda Issuer kısmında doğru sertifika bilgilerinin yer aldığı görüldüğünde, Secure Boot güncellemeleri (DB/DBX/KEK) artık otomatik olarak alınabilecektir. İşlem tamamlandığında oluşturulan geçici Named Disk, portal üzerinden sanal makineden Detach edilir ve silinir.
8. Son Adım
İşlemler tamamlandıktan sonra Turkcell Bulut destek ekiplerine bilgi verilir. Sanallaştırma katmanında yapılan konfigürasyonlar Turkcell Bulut destek ekipleri tarafından düzenlendikten sonra sanal sunucu müşteri tarafından kapatılıp açılmalıdır.