Sådan installeres 2023 Secure Boot-certifikaterne på Windows 11 (og 10) før udløbet i 2026

• Windows 11 (og 10) Secure Boot-certifikater fra 2011 udløber i juni 2026.
• PC'er produceret i 2024 og senere inkluderer typisk 2023-certifikaterne. Ældre systemer kan have brug for manuelle opdateringer.
• Disse instruktioner hjælper dig med at kontrollere certifikatoplysninger og manuelt installere 2023-certifikater.

På Windows 11 og Windows 10 validerer og opdaterer Microsoft gradvist Secure Boot-certifikater via standard systemopdateringer. I de fleste tilfælde behøver du kun at holde dig opdateret med de månedlige sikkerhedsopdateringer for at sikre, at din enhed er klar inden fristen i juni 2026.

Hvis du dog selv vil verificere eller anvende de nyere 2023 Secure Boot-certifikater, kan du udføre processen manuelt. Denne vejledning fører dig gennem trinnene.

Secure Boot er en sikkerhedsfunktion på firmwareniveau, der er indbygget i Unified Extensible Firmware Interface (UEFI). Den sikrer, at en enhed kun starter med software, der er digitalt signeret og betroet af godkendte certifikatmyndigheder. Ved at validere bootloadere og firmwarekomponenter, før operativsystemet indlæses, hjælper Secure Boot med at forhindre rootkits og anden lavniveau-malware i at kompromittere opstartsprocessen.

For at håndhæve denne beskyttelse er Secure Boot afhængig af kryptografiske nøgler kendt som certifikatmyndigheder (CA'er). Disse nøgler etablerer en tillidskæde mellem firmwaren og operativsystemet, hvilket blokerer usigneret eller manipuleret kode under tidlig opstart.

Ligesom alle digitale certifikater har Secure Boot-certifikatmyndigheder udløbsdatoer. De originale 2011-certifikater udløber i juni 2026. Systemer skal have de opdaterede 2023-certifikater installeret før denne dato for at undgå tillidsvalideringsfejl, opstartsproblemer eller potentielle afbrydelser i modtagelse af fremtidige opdateringer.

Computere fremstillet i 2024 eller senere leveres typisk med 2023-certifikaterne allerede på plads. For ældre hardware leverer Microsoft de opdaterede certifikater via Windows Update som en del af den løbende sikkerhedsvedligeholdelse, men du kan også installere og erstatte de nye certifikater manuelt.

I denne vejledning vil jeg skitsere de nemme trin til at kontrollere og manuelt opdatere Secure Boot-certifikaterne på din Windows 11-enhed.

Vigtigt: Selvom dette er en ikke-destruktiv proces, anbefales det stadig, at du laver en fuld sikkerhedskopi af din computer, før du fortsætter. Du er blevet advaret.

Installer 2023 Secure Boot-certifikaterne på Windows 11

Hvis BitLocker er aktiv, skal du midlertidigt deaktivere krypteringen i PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), før firmwaren kan skrive de nye nøgler til enheden. Før du fortsætter, skal du også sørge for, at din computer er fuldt opdateret til sikkerhedsopdateringen fra februar 2026 (KB5077181) eller nyere.

Følg disse trin for at opdatere Secure Boot-certifikaterne, før de udløber i 2026:

1. Åbn Start .

    

    

2. Søg efter PowerShell (eller Terminal ), højreklik på det øverste resultat, og vælg indstillingen Kør som administrator .

3. Skriv denne kommando for at bekræfte, at enheden bruger UEFI med sikker opstart aktiveret, og tast derefter ind :

   Bekræft-SecureBootUEFI

   Hurtig bemærkning: Hvis outputtet er "Sandt", kan du fortsætte med nedenstående trin. Ellers skal du aktivere Sikker opstart . Hvis du bruger Windows 10, skal du muligvis endda skifte fra den ældre BIOS til UEFI .

4. Skriv denne kommando for at kontrollere udløbsdatoen for Secure Boot-certifikaterne, og tryk på Enter : 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

5. (Output 1) Hvis outputtet er "Sandt", har du det nye certifikat (gyldigt indtil 2053). Stop, og fortsæt ikke.

6. (Output 2) Hvis outputtet er "Falsk", er du sandsynligvis stadig på 2011-certifikatet (udløber i 2026). Fortsæt med nedenstående trin.

7. Skriv denne kommando for at indstille registreringsdatabasenøglen til at implementere alle nødvendige certifikater, og tryk på Enter : 

   reg tilføj HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v Tilgængelige opdateringer /t REG_DWORD /d 0x5944 /f

8. Skriv denne kommando for at udløse certifikatændringerne manuelt, og tryk på Enter :

   Start-PlanlagtOpgave -Opgavenavn "\Microsoft\Windows\PI\Secure-Boot-Update"

   

9. Genstart computeren én gang.

10. Genstart enheden en gang til, og fortsæt processen med at kontrollere certifikaterne.

    Kort bemærkning: Opdateringen kræver typisk to genstarter for at blive fuldt implementeret. Efter den første genstart opdaterer systemet boot manager. Efter den anden færdiggør det certifikatregistreringen i UEFI-databasen.

11. Åbn Start .

12. Søg efter PowerShell (eller Terminal ), højreklik på det øverste resultat, og vælg indstillingen Kør som administrator.

13. Skriv denne kommando for at kontrollere, om opdateringen er gennemført, og tryk på Enter : 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Når du har gennemført trinnene, og resultatet er "Sandt", er de nye certifikater (gyldige indtil 2053) installeret på din computer. Hvis resultatet er "Falsk", er certifikaterne ikke installeret korrekt.

Det er vigtigt at bemærke, at "Sand" bekræfter tilmelding af 2023-certifikatmyndigheden, men det fjerner ikke 2011-certifikatet med det samme i alle scenarier. Nogle systemer kan midlertidigt vise begge.

Hvis outputtet forbliver "Falsk" efter processen, skal du kontrollere Logbog > Program- og tjenestelogfiler > Microsoft > Windows > SecureBoot-Update for fejl. Bekræft også, at den planlagte opgave findes ved at køre Get-ScheduledTask -TaskName "Secure-Boot-Update"kommandoen.

Hvis du efter opdateringen har været nødt til at deaktivere BitLocker, kan du genoptage kryptering ved at køre Resume-BitLocker -MountPoint "C:"kommandoen, selvom den -RebootCount 2automatisk genoptages efter to genstarter.

En ting at bemærke er, at 2023 Secure Boot-certifikaterne ikke kommer ud af den blå luft. Microsoft inkluderer de nye certifikater i Windows-serviceopdateringer, normalt som en del af en kumulativ opdatering eller sikkerhedsopdatering til Windows 11 og understøttede Windows 10-enheder. 

Faktisk har virksomheden inkluderet de nye Secure Boot-certifikater siden udgivelsen af ​​sikkerhedsopdateringen i februar 2026 (og nyere udgivelser).

Disse certifikater, kendt som Windows UEFI CA 2023, er digitalt signeret af Microsoft og har tillid til Secure Boot.

Hvis certifikaterne allerede findes på din computer, vil disse instruktioner hjælpe dig med at anvende dem med det samme uden at vente på, at systemet behandler opdateringen automatisk.