Was wäre die IT, wenn nicht Jahr um Jahr potentielles riesiges Ungemach drohen würde. So auch 2026 mit dem Ablauf relevanter Zertifikate im UEFI wenn es um Secure Boot geht.

So langsam wird es Zeit sich mit dem Thema auseinander zu setzen, denn wir haben Ende April (2026) und in nicht mal zwei Monaten – sprich im Juni – laufen die Secure Boot-Zertifikate aus dem Jahre 2011 ab. In Folge booten Systeme, bei denen Secure Boot aktiviert ist, dann nicht mehr.

Gleich vorweg: UEFI Legacy, also CSM oder das klassische BIOS sind von dieser Thematik nicht betroffen. Ebenfalls droht kein Ärger wenn Secure Boot deaktiviert ist.

Microsoft verteilt seit Monaten Updates die im Idealfall die Zertifikate automatisch aktualisieren, das funktioniert (meiner Erfahrung nach) überwiegend gut, aber nicht immer und überall. Für Windows Server gibt Microsoft sogar vor, das man sich selbst um die Aktualisierung kümmern muss.

Wichtig: Secure Boot und die Aktualisierung der Zertifikate ist auch ein Thema bei virtuellen Maschinen! So zum Beispiel bei Hyper-V mit Generation 2-VMs (bei aktiven “Sicheren Start”).

Am Anfang steht also zunächst zu prüfen, welche Systeme Secure Boot nutzen, dann muss man in Erfahrung bringen ob die Zertifikate aktuell sind oder nicht. Unter Windows 11 und unter Windows Server 2019 und neuer kann man mit folgenden PowerShell-Befehlen einfach prüfen, ob Secure Boot aktiviert ist und ob die aktuellen Zertifikate bereits installiert sind:

Confirm-SecureBootUEFI
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Im Idealfall liefert beides ein “true” zurück und alles ist gut. Falls beim ersten Befehl ein “false” kommt, ist Secure Boot deaktiviert und somit ist man von der Thematik nicht betroffen. Kritisch wird es wenn der erste Befehl “true” und der zweite Befehl “false” ausgibt, denn dann ist Secure Boot aktiv, aber die aktuellen Zertifikate fehlen.

Nun kann man versuchen den Vorgang manuell durch diese beiden Befehle anzutriggern:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
powershell -Command "Start-ScheduledTask -TaskName \""\Microsoft\Windows\PI\Secure-Boot-Update\"""

Klappt es, ist kurze Zeit später alles gut. Ist das nicht der Fall, muss man weiter Hand an das betroffene System legen. Anbei ein paar Beispiele aus den vergangenen Wochen und Monaten:

Bei einem PC ist Secure Boot im BIOS aktiv, aber Windows meldet dennoch, das es inaktiv sei

Die Lösung ist relativ einfach:

Im BIOS unter “Boot” oder an ähnlichen Stellen prüfen was hinterlegt ist
Steht dort bei “System Mode” “Setup Mode” passt was nicht, denn dort sollte “User” sehen.
Abhilfe in diesem Fall hat gebracht, den “Secure Boot Mode” auf “Custom” zu setzen und anschließend “Restore Factory Keys” auszuwählen.
Nach einem Neustart kann man den “Secure Boot Mode” wieder auf “Standard” setzen.

Nach einem weiteren Neustart sollten die obigen Befehle dann jeweils “true” zurückgeben und alles ist gut. Je nach UEFI-BIOS, gemeint ist quasi Marke und Modell des Geräts, können die Begrifflichkeiten und Menüstrukturen variieren.

Die Zertifikate lassen sich nicht aus Windows heraus aktualisieren

Leider gibt es Systeme, bei denen die Zertifikate nicht aus Windows heraus aktualisiert werden können. Ein Beispiel hierzu sind Wortmann Terra Mobile 1516(T)-Notebooks (Clevo-Barebones, insydeH20-BIOS). Der Support hat mir dazu eine Anleitung zukommen lassen (Vielen Dank dafür), die ich in gekürzter Form hier wiedergebe:

Windows Secure Boot Key Creation and Management Guidance

Benötigte Zertifikate:

        a. Microsoft Corporation KEK 2K CA 2023

	https://go.microsoft.com/fwlink/?linkid=2239775
	SignatureOwner GUID: {77fa9abd-0359-4d32-bd60-28f4e78f784b}

        b. Windows UEFI CA 2023

	https://go.microsoft.com/fwlink/?linkid=2239776
	SignatureOwner GUID: {77fa9abd-0359-4d32-bd60-28f4e78f784b}.
	
        c. Microsoft UEFI CA 2023

	https://go.microsoft.com/fwlink/p/?linkid=321194
	SignatureOwner GUID: {77fa9abd-0359-4d32-bd60-28f4e78f784b}.

        d. Microsoft Option ROM UEFI CA 2023

	https://go.microsoft.com/fwlink/?linkid=2284009
	SignatureOwner GUID: {77fa9abd-0359-4d32-bd60-28f4e78f784b}.

- Die Dateien von *.crt in *.cer umbenennen.
- Auf einen USB-Stick (FAT32-formatiert) kopieren.
- Gerät starten und mit F2 ins BIOS wechseln.
- "Administer Secure Boot" auswählen.
- Ggf. Secure Boot (de)aktivieren
- Enroll Microsoft Corporation KEK 2K CA 2023
  KEK Options > Enroll KEK
  Stick auswählen
  KEK-Datei Auswählen
  GUID eingeben
- Das Ganze für die restlichen Dateien wiederholen + "Signatur PKCS7 bestätigen"
- F10 für Speicehrn und Beenden.
- Erneut prüfen.

Ich habe das noch nicht durchführen können, der Kundentermin steht noch aus, ergo gibt es in ein paar Tagen ein Update dazu. Man kann es sich schwer verkneifen: Mit einem USB-Stick Geräte aktualisieren, so geht IT im Jahre 2026.

Was ist mit Geräten die aus dem Support raus sind (EOL/EOS)?

Diesen Fall haben wir auch am Beispiel von HP ProDesk 600 G2. HP schreibt generell so EOL/EOS-Modellen folgendes:

"Für HP PCs, die kein BIOS-Update erhalten, weil sie das Ende Lebensdauer (EOSL) erreicht haben (einschließlich ausgewählter Geräte von 2018 und aller HP PCs,
die 2017 eingeführt wurden), entwickelt HP eine Lösung, mit der Sie Ihr System manuell aktualisieren können.

Um manuell aktualisiert zu werden, müssen Systeme die folgenden Anforderungen erfüllen:

Sie müssen das Betriebssystem Windows 11, Windows 10 IoT LTSC oder Windows 10 mit Programm für erweiterte Sicherheitsaktualisierungen (ESU) ausführen können.
Sie müssen die Systemvoraussetzungen für Windows 11 oder Windows 10 IoT LTSC erfüllen.
HP aktualisiert diese Seite möglicherweise mit zusätzlichen Anweisungen zum Aktualisieren der Secure Boot-Zertifikate auf diesen Systemen."

Quelle: HP PCs – Vorbereiten auf neue Windows Secure Boot-Zertifikate

Bislang habe ich von HP nichts weiter zu einer Lösung für EOSL-Geräte gesehen. Angeblich kann man solche Geräte auch über einen USB-Stick aktualisieren, mangels Erfahrung weiß ich bis dato leider nicht wie man die nötigen Dateien dazu erzeugt. Wer hierzu etwas weiß kann mir gerne ein Kommentar da lassen.

Generell

Die besten Chancen von Windows 11 aus die Aktualisierung zu fahren haben wir mit 24H2 und 25H2 gemacht.

Manchmal muss vor der Aktualisierung ein BIOS-Update durchgeführt werden, damit der Vorgang erfolgreich ist.

Für die Geräte bei denen eine Aktualisierung ganz gleich auf welche Weise nicht möglich ist, bleibt letztlich nur, Secure Boot zu deaktivieren, damit diese weiter genutzt werden können.

CSM muss deaktiviert sein, damit man Secure Boot im BIOS konfigurieren kann. Allerdings kann das in Verbindung mit älteren Grafikkarten oder nicht aktueller GPU-Firmware einen weiteren Nebeneffekt haben: Kommt man nach der Deaktivierung nicht mehr ins BIOS, liegt das daran, das die GPU keine UEFI-Unterstützung bietet oder anders ausgedrückt, man sieht die BIOS-Meldungen beim Einschalten nicht mehr.

Im Ereignisprotoll kann es Meldungen zur fehlgeschlagenen Aktualisierung geben. Nachfolgend ein Beispiel:

Event ID 1797
Fehler beim Update des sicheren Starts, weil das Windows UEFI CA 2023-Zertifikat nicht in der Datenbank vorhanden ist

Hilfereiche Skripte

Unter GitHub – cjee21/Check-UEFISecureBootVariables findet man ein paar Skripte die bei der Analyse und dem Updaten helfen können. Vielen Dank an Jan für diesen Tipp.

Mit folgendem PowerShell-Skript haben wir die durch uns verwalteten Systeme via RMM abgeklopft und weitgehend automatisch aktualisiert, sofern es durch MS noch nicht geschehen war:

# Prüfen, ob SecureBoot aktiviert ist

    $SecureBoot = Confirm-SecureBootUEFI
    Write-Host "SecureBoot Enabled: $SecureBoot"

# Prüfen, ob die Zertifikate aktuell sind

    $Certificate = ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')   
    Write-Host "Windows UEFI CA 2023: $Certificate"

# Auswertung, nur wenn SecureBoot aktiv ist, stellen die veralteten Zertifikate ein Problem dar

    if ($SecureBoot.ToString() -eq "True" -and $Certificate.ToString() -eq "False") {
        reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
	Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
        $host.SetShouldExit(1)
    } else {
        $host.SetShouldExit(0)  
    }

Die Systeme die auf “false” bzw. Rückgabewert “1” geblieben sind, wurden vor Ort begutachtet, einen Teil steht aktuell noch aus.

Gruppenrichtlinien (GPO)

Natürlich kann man auch via Gruppenrichtlinie etwas in Sachen Secure Boot unternehmen. Infos hierzu finden sich bei Microsoft:

Windows IT Pro Blog – Secure Boot playbook for certificates expiring in 2026

Was ist mit Linux?

Zu Linux und Secure Boot fehlt es mir an Erfahrungswerten. Die Systeme die wir haben laufen mit deaktiviertem Secure Boot oder haben gar kein UEFI. Wer hierzu etwas beitragen möchte darf sich gerne melden.

Weitere Links zum Thema

IT-Administrator – Ablauf der Windows-Zertifikate für Secure Boot

TECH-SUPPORT.KOELN – UEFI Secure Boot-Zertifikate für Windows laufen ab

Borns IT- und Windows-Blog – Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft – Teil 1

Borns IT- und Windows-Blog – Secure Boot-Zertifikatswechsel: Es gibt Hürden beim Austausch – Teil 2

Borns IT- und Windows-Blog – Windows Secure Boot und der Zertifikatswechsel: Microsoft Video-Session

Borns IT- und Windows-Blog – Windows Server für Secure Boot-Zertifikat-Updates vorbereiten

heise online – Microsoft-Anleitung für Secure-Boot-Zertifikate von Windows Servern

WindowsPro – Update der Secure-Boot-Zertifikate für Windows Server und virtuelle Maschinen

Fazit

Also einfach zu hoffen, das alles gut geht klappt auch in diesem Jahr leider nicht. Zum Glück ist es bislang nur eine kleine Zahl an Problemfällen, hoffen wir mal, das es so bleibt.

Wie hat Dir der Artikel gefallen ?

(Bislang keine Stimmen erhalten.)

Du möchtest den Blog unterstützen ?

Neben PayPal.ME gibt es noch weitere Möglichkeiten, lies hier wie du diesen Blog unterstützen kannst.

Andy

Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 15 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.

Secure Boot-Zertifikate laufen im Juni 2026 ab

Hilfereiche Skripte

Gruppenrichtlinien (GPO)

Was ist mit Linux?

Weitere Links zum Thema

Fazit

Wie hat Dir der Artikel gefallen ?

Du möchtest den Blog unterstützen ?

Schreibe einen Kommentar

Newsfeeds & Social Networks

Unterstützen

Menü

Archiv

Statistik - Seit 09.06.2021

Statistik bis 09.06.2021 (Count per Day)

Zertifizierungen