Jak nainstalovat certifikáty Secure Boot z roku 2023 ve Windows 11 (a 10) před vypršením platnosti v roce 2026

  • Certifikáty Secure Boot pro Windows 11 (a 10) z roku 2011 vyprší v červnu 2026.
  • Počítače vyrobené v roce 2024 a později obvykle obsahují certifikáty z roku 2023. Starší systémy mohou vyžadovat ruční aktualizace.
  • Tyto pokyny vám pomohou zkontrolovat podrobnosti certifikátu a ručně nainstalovat certifikáty 2023.

V systémech Windows 11 a Windows 10 společnost Microsoft postupně ověřuje a aktualizuje certifikáty Secure Boot prostřednictvím standardních aktualizací systému. Ve většině případů stačí sledovat pouze měsíční aktualizace zabezpečení , abyste zajistili, že vaše zařízení bude připraveno před termínem v červnu 2026.

Pokud si však chcete novější certifikáty Secure Boot z roku 2023 ověřit nebo použít sami, můžete proces provést ručně. Tato příručka vás provede jednotlivými kroky.

Secure Boot je bezpečnostní funkce na úrovni firmwaru zabudovaná do rozhraní UEFI (Unified Extensible Firmware Interface). Zajišťuje, aby se zařízení spouštělo pouze se softwarem digitálně podepsaným a důvěryhodným schválenými certifikačními autoritami. Ověřením bootloaderů a komponent firmwaru před spuštěním operačního systému pomáhá Secure Boot zabránit rootkitům a dalšímu malwaru nízké úrovně v narušení procesu spouštění.

Pro vynucení této ochrany se Secure Boot spoléhá na kryptografické klíče známé jako certifikační autority (CA). Tyto klíče vytvářejí řetězec důvěry mezi firmwarem a operačním systémem a blokují nepodepsaný nebo pozměněný kód během raného spouštění.

Podobně jako všechny digitální certifikáty mají i certifikační autority Secure Boot data vypršení platnosti. Původní certifikáty z roku 2011 vyprší v červnu 2026. Systémy musí mít před tímto datem nainstalovány aktualizované certifikáty z roku 2023, aby se předešlo chybám při ověřování důvěryhodnosti, problémům se spouštěním nebo potenciálnímu přerušení přijímání budoucích aktualizací.

Počítače vyrobené v roce 2024 nebo později se obvykle dodávají s již nainstalovanými certifikáty z roku 2023. U staršího hardwaru společnost Microsoft dodává aktualizované certifikáty prostřednictvím služby Windows Update v rámci průběžné údržby zabezpečení, ale nové certifikáty můžete také nainstalovat a nahradit ručně.

V této příručce nastíním jednoduché kroky pro kontrolu a ruční aktualizaci certifikátů Secure Boot na vašem zařízení s Windows 11.

Důležité: Přestože se jedná o nedestruktivní proces, doporučuje se před pokračováním vytvořit úplnou zálohu počítače . Byli jste varováni.

Instalace certifikátů Secure Boot 2023 ve Windows 11

Pokud je BitLocker aktivní, musíte šifrování dočasně deaktivovat v PowerShellu ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), než firmware bude moci úspěšně zapsat nové klíče do zařízení. Před pokračováním se také ujistěte, že je váš počítač plně aktualizován na bezpečnostní aktualizaci z února 2026 (KB5077181) nebo novější.

Chcete-li aktualizovat certifikáty Secure Boot před vypršením jejich platnosti v roce 2026, postupujte takto:

  1. Otevřete Start .

     

     

  2. Vyhledejte PowerShell (nebo Terminál ), klikněte pravým tlačítkem myši na první výsledek a vyberte možnost Spustit jako správce .

  3. Zadejte tento příkaz pro ověření, zda zařízení používá UEFI s povoleným Secure Boot, a zadejte :

    Potvrzení SecureBootUEFI

    Rychlá poznámka: Pokud je výstup „True“, můžete pokračovat podle níže uvedených kroků. V opačném případě budete muset povolit zabezpečené spouštění . Pokud používáte Windows 10, možná budete muset přepnout ze staršího systému BIOS na UEFI .

  4. Zadejte tento příkaz pro kontrolu data vypršení platnosti certifikátů Secure Boot a stiskněte klávesu Enter

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    Jak nainstalovat certifikáty Secure Boot z roku 2023 ve Windows 11 (a 10) před vypršením platnosti v roce 2026

  5. (Výstup 1) Pokud je výstup „True“, máte nový certifikát (platný do roku 2053). Zastavte a nepokračujte.

  6. (Výstup 2) Pokud je výstup „Nepravda“, pravděpodobně stále používáte certifikát z roku 2011 (platnost vyprší v roce 2026). Pokračujte podle níže uvedených kroků.

  7. Zadejte tento příkaz pro nastavení klíče registru pro nasazení všech požadovaných certifikátů a stiskněte klávesu Enter

    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

  8. Zadejte tento příkaz pro ruční spuštění změn certifikátu a stiskněte klávesu Enter :

    Start-ScheduledTask-NázevÚlohy "\Microsoft\Windows\PI\Secure-Boot-Update"

    Jak nainstalovat certifikáty Secure Boot z roku 2023 ve Windows 11 (a 10) před vypršením platnosti v roce 2026

  9. Restartujte počítač jednou.

  10. Restartujte zařízení podruhé a pokračujte v procesu kontroly certifikátů.

    Stručná poznámka: Aktualizace obvykle vyžaduje dva restarty, aby se plně projevila. Po prvním restartu systém aktualizuje správce spouštění. Po druhém restartu dokončí zápis certifikátu do databáze UEFI.

  11. Otevřete Start .

  12. Vyhledejte PowerShell (nebo Terminál ), klikněte pravým tlačítkem myši na první výsledek a vyberte možnost Spustit jako správce.

  13. Zadejte tento příkaz pro ověření, zda se aktualizace úspěšně dokončila, a stiskněte klávesu Enter

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Po dokončení kroků, pokud je výstup „True“, máte nové certifikáty (platné do roku 2053) úspěšně nainstalované do počítače. Pokud je výstup „False“, certifikáty se nenainstalovaly správně.

Je důležité si uvědomit, že hodnota „True“ potvrzuje registraci certifikační autority 2023, ale ve všech scénářích okamžitě neodstraní certifikát 2011. Některé systémy mohou dočasně zobrazovat obojí.

Pokud výstup po dokončení procesu zůstane „False“, zkontrolujte Prohlížeč událostí > Protokoly aplikací a služeb > Microsoft > Windows > SecureBoot-Update, zda se v něm nevyskytují chyby. Také spuštěním příkazu ověřte existenci naplánované úlohy Get-ScheduledTask -TaskName "Secure-Boot-Update".

Pokud jste po aktualizaci museli zakázat BitLocker, můžete šifrování obnovit spuštěním příkazu Resume-BitLocker -MountPoint "C:", i když -RebootCount 2se po dvou restartech automaticky obnoví.

Je třeba poznamenat, že certifikáty Secure Boot z roku 2023 se neobjevují jen tak z ničeho nic. Společnost Microsoft zahrnuje nové certifikáty do servisních aktualizací systému Windows, obvykle jako součást kumulativní aktualizace nebo aktualizace zabezpečení pro systém Windows 11 a podporovaná zařízení s Windows 10. 

Společnost ve skutečnosti zahrnuje nové certifikáty Secure Boot již od vydání bezpečnostní aktualizace z února 2026 (a vyšších verzí).

Tyto certifikáty, známé jako Windows UEFI CA 2023, jsou digitálně podepsány společností Microsoft a důvěryhodné pro Secure Boot.

Pokud certifikáty již máte v počítači, tyto pokyny vám pomohou je okamžitě použít, aniž byste museli čekat, až systém automaticky zpracuje aktualizaci.

Zanechat komentář

Jak pomocí Tiny11 Builderu vytvořit vlastní ISO Windows 11 bez nepotřebných aplikací

Jak pomocí Tiny11 Builderu vytvořit vlastní ISO Windows 11 bez nepotřebných aplikací

Vytvořte odblokovaný ISO soubor Windows 11 pomocí Tiny11 Builderu. Odeberte výchozí aplikace, přeskočte účet Microsoft a vytvořte čistý instalační obraz.

Sestavení 26120.3964 (KB5058496) pro Windows 11 přidává do Nastavení v beta verzi nového agenta s umělou inteligencí.

Sestavení 26120.3964 (KB5058496) pro Windows 11 přidává do Nastavení v beta verzi nového agenta s umělou inteligencí.

Build Windows 11 26120.3964 (KB5058496) přináší agenta umělé inteligence pro Nastavení, přidává možnost přenosu souborů pro aplikaci Zálohování a funkce Klikni a vytvoř rozšiřuje akce.

Upgradujte nepodporované počítače (24H2) na Windows 11 25H2 bez přeinstalace nebo dalších nástrojů

Upgradujte nepodporované počítače (24H2) na Windows 11 25H2 bez přeinstalace nebo dalších nástrojů

Chcete-li upgradovat z Windows 11 24H2 na verzi 25H2 bez přeinstalace nebo dalších nástrojů, musíte ručně nainstalovat zprovozňovací balíček.

Jak zobrazit čas v Centru oznámení ve Windows 11

Jak zobrazit čas v Centru oznámení ve Windows 11

Chcete-li v systému Windows 11 povolit hodiny Centra oznámení, otevřete Nastavení > Čas a jazyk > Datum a čas a zapněte možnost Zobrazit čas v Centru oznámení.

Jak nainstalovat Windows 11 bez bloatwaru na nepodporovaný hardware

Jak nainstalovat Windows 11 bez bloatwaru na nepodporovaný hardware

Chcete-li nainstalovat Windows 11 bez bloatwaru pomocí lokálního účtu na nepodporovaném hardwaru, integrujte soubor autounattend.xml do bootovacího USB disku.

Nový únik informací o „Aluminium OS“ od Googlu naznačuje přímého rivala Windows 11.

Nový únik informací o „Aluminium OS“ od Googlu naznačuje přímého rivala Windows 11.

Únik informací o Aluminium OS od Googlu odhaluje plnohodnotné desktopové rozhraní Androidu, multitasking, rozšíření pro Chrome a umělou inteligenci, potenciálního rivala Windows 11.

Microsoft zastavuje agresivní tlak na umělou inteligenci ve Windows 11 – Copilot omezen, stažení z trhu je v procesu přezkumu

Microsoft zastavuje agresivní tlak na umělou inteligenci ve Windows 11 – Copilot omezen, stažení z trhu je v procesu přezkumu

Microsoft údajně po negativní reakci uživatelů omezuje používání platformy Copilot v aplikacích pro Windows 11, pozastavuje nové funkce umělé inteligence a přezkoumává stávající integrace.

Jak povolit režim hibernace ve Windows 11

Jak povolit režim hibernace ve Windows 11

Chcete-li v systému Windows 11 povolit režim spánku, spusťte příkaz powercfg /hibernate on a v Ovládacích panelech – Možnosti napájení povolte režim spánku pro spuštění.

Windows 11 konečně nabízí pořádnou alternativu Správce úloh – seznamte se s AppControl

Windows 11 konečně nabízí pořádnou alternativu Správce úloh – seznamte se s AppControl

AppControl přináší do Windows 11 třídenní historii systému, sledování spouštění aplikací a upozornění. Je lepší než Správce úloh? Zde je kompletní rozpis.

Jak zakázat „režim AI“ v adresním řádku a na nové kartě v Chromu

Jak zakázat „režim AI“ v adresním řádku a na nové kartě v Chromu

Chcete-li v adresním řádku a na stránce nové karty v Chromu zakázat režim AI, musíte na stránce Vlajky zakázat čtyři klíčová nastavení. Zde je návod.