Как да инсталирате сертификатите за Secure Boot от 2023 г. на Windows 11 (и 10) преди изтичането им през 2026 г.

• Сертификатите за Secure Boot на Windows 11 (и 10) от 2011 г. изтичат през юни 2026 г.
• Компютрите, произведени през 2024 г. и по-късно, обикновено включват сертификатите от 2023 г. По-старите системи може да се нуждаят от ръчни актуализации.
• Тези инструкции ви помагат да проверите данните на сертификата и ръчно да инсталирате сертификати 2023.

В Windows 11 и Windows 10 Microsoft постепенно валидира и актуализира сертификатите за Secure Boot чрез стандартни системни актуализации. В повечето случаи е необходимо само да следите месечните актуализации за сигурност , за да сте сигурни, че устройството ви е готово преди крайния срок юни 2026 г.

Ако обаче искате сами да проверите или приложите по-новите сертификати за Secure Boot от 2023 г., можете да завършите процеса ръчно. Това ръководство ви превежда през стъпките.

Secure Boot е функция за сигурност на ниво фърмуер, вградена в Unified Extensible Firmware Interface (UEFI). Тя гарантира, че устройството се стартира само със софтуер, цифрово подписан и надежден от одобрени сертифициращи органи. Чрез валидиране на зареждащите програми и компонентите на фърмуера преди зареждане на операционната система, Secure Boot помага за предотвратяване на компрометиране на процеса на стартиране от руткитове и друг ниско ниво на зловреден софтуер.

За да осигури тази защита, Secure Boot разчита на криптографски ключове, известни като сертифициращи органи (CA). Тези ключове установяват верига на доверие между фърмуера и операционната система, блокирайки неподписан или подправен код по време на ранното зареждане.

Подобно на всички цифрови сертификати, сертифициращите органи за Secure Boot имат дати на валидност. Оригиналните сертификати от 2011 г. изтичат през юни 2026 г. Системите трябва да имат инсталирани актуализираните сертификати от 2023 г. преди тази дата, за да се избегнат грешки при проверката на доверието, проблеми със зареждането или потенциални прекъсвания при получаването на бъдещи актуализации.

Компютрите, произведени през 2024 г. или по-късно, обикновено се доставят с вече инсталирани сертификати от 2023 г. За по-стар хардуер Microsoft доставя актуализираните сертификати чрез Windows Update като част от текущата поддръжка на сигурността, но можете също да инсталирате и замените новите сертификати ръчно.

В това ръководство ще опиша лесните стъпки за проверка и ръчно актуализиране на сертификатите за Secure Boot на вашето устройство с Windows 11.

Важно: Въпреки че това е неразрушителен процес, все пак се препоръчва да направите пълно резервно копие на компютъра си, преди да продължите. Бяхте предупредени.

Инсталирайте сертификатите за Secure Boot 2023 на Windows 11

Ако BitLocker е активен, трябва временно да деактивирате криптирането в PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), преди фърмуерът да може успешно да запише новите ключове на устройството. Също така, преди да продължите, уверете се, че компютърът ви е напълно актуализиран до актуализацията за сигурност от февруари 2026 г. (KB5077181) или по-нова версия.

За да актуализирате сертификатите за Secure Boot преди изтичането им през 2026 г., изпълнете следните стъпки:

1. Отворете „Старт“ .

    

    

2. Потърсете PowerShell (или Terminal ), щракнете с десния бутон върху горния резултат и изберете опцията „ Изпълни като администратор“ .

3. Въведете тази команда, за да потвърдите, че устройството използва UEFI с активирано Secure Boot, и въведете :

   Потвърдете SecureBootUEFI

   Бърза бележка: Ако резултатът е „True“, можете да продължите със стъпките по-долу. В противен случай ще трябва да активирате Secure Boot . Ако използвате Windows 10, може дори да се наложи да превключите от стария BIOS към UEFI .

4. Въведете тази команда, за да проверите датата на изтичане на сертификатите за Secure Boot, и натиснете Enter : 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -съвпадение на „Windows UEFI CA 2023“

   

5. (Изход 1) Ако изходът е „True“, имате новия сертификат (валиден до 2053 г.). Спрете и не продължавайте.

6. (Изход 2) Ако изходът е „False“, вероятно все още използвате сертификата от 2011 г. (изтичащ през 2026 г.). Продължете със стъпките по-долу.

7. Въведете тази команда, за да зададете ключа на системния регистър да разположи всички необходими сертификати, и натиснете Enter : 

   reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

8. Въведете тази команда, за да задействате промените в сертификата ръчно, и натиснете Enter :

   Старт-ПланиранаЗадача -ИмеНаЗадача "\Microsoft\Windows\PI\Secure-Boot-Update"

   

9. Рестартирайте компютъра веднъж.

10. Рестартирайте устройството втори път и продължете с процеса на проверка на сертификатите.

    Бърза бележка: Актуализацията обикновено изисква две рестартирания, за да се приложи напълно. След първото рестартиране системата актуализира мениджъра за зареждане. След второто финализира записването на сертификата в базата данни на UEFI.

11. Отворете „Старт“ .

12. Потърсете PowerShell (или Terminal ), щракнете с десния бутон върху горния резултат и изберете опцията „Изпълни като администратор“.

13. Въведете тази команда, за да проверите дали актуализацията е завършила успешно, и натиснете Enter : 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -съвпадение на „Windows UEFI CA 2023“

След като изпълните стъпките, ако резултатът е „True“, новите сертификати (валидни до 2053 г.) са инсталирани успешно на вашия компютър. Ако резултатът е „False“, сертификатите не са инсталирани правилно.

Важно е да се отбележи, че „True“ потвърждава регистрацията на сертифициращия орган от 2023 г., но не премахва сертификата от 2011 г. незабавно във всички сценарии. Някои системи могат временно да показват и двете.

Ако резултатът остане „False“ след процеса, проверете Event Viewer > Applications and Services Logs > Microsoft > Windows > SecureBoot-Update за грешки. Също така, потвърдете, че планираната задача съществува, като изпълните командата Get-ScheduledTask -TaskName "Secure-Boot-Update".

След актуализацията, ако е трябвало да деактивирате BitLocker, можете да възобновите криптирането, като изпълните командата Resume-BitLocker -MountPoint "C:", въпреки че -RebootCount 2то се възобновява автоматично след две рестартирания.

Едно нещо, което трябва да се отбележи, е, че сертификатите за Secure Boot от 2023 г. не се появяват от нищото. Microsoft включва новите сертификати в актуализациите за обслужване на Windows, обикновено като част от кумулативна актуализация или актуализация на защитата за Windows 11 и поддържани устройства с Windows 10. 

Всъщност компанията включва новите сертификати за Secure Boot от издаването на актуализацията за сигурност от февруари 2026 г. (и по-новите версии).

Тези сертификати, известни като Windows UEFI CA 2023, са цифрово подписани от Microsoft и са надеждни от Secure Boot.

Ако сертификатите вече са на вашия компютър, тези инструкции ще ви помогнат да ги приложите незабавно, без да чакате системата да обработи актуализацията автоматично.