Kuinka asentaa vuoden 2023 Secure Boot -sertifikaatit Windows 11:een (ja 10:een) ennen vuoden 2026 vanhenemista

• Windows 11:n (ja 10:n) Secure Boot -varmenteet vuodelta 2011 vanhenevat kesäkuussa 2026.
• Vuonna 2024 ja myöhemmin valmistetuissa tietokoneissa on tyypillisesti vuoden 2023 varmenteet. Vanhemmat järjestelmät saattavat vaatia manuaalisia päivityksiä.
• Näiden ohjeiden avulla voit tarkistaa varmenteen tiedot ja asentaa vuoden 2023 varmenteet manuaalisesti.

Microsoft vahvistaa ja päivittää Secure Boot -varmenteita vähitellen Windows 11: ssä ja Windows 10:ssä vakiojärjestelmäpäivitysten kautta. Useimmissa tapauksissa sinun tarvitsee vain pysyä ajan tasalla kuukausittaisista tietoturvapäivityksistä varmistaaksesi, että laitteesi on valmis ennen kesäkuun 2026 määräaikaa.

Jos kuitenkin haluat tarkistaa tai ottaa käyttöön uudemmat vuoden 2023 Secure Boot -varmenteet itse, voit suorittaa prosessin manuaalisesti. Tämä opas opastaa sinut vaihe vaiheelta.

Secure Boot on laiteohjelmistotason suojausominaisuus, joka on sisäänrakennettu Unified Extensible Firmware Interfaceen (UEFI). Se varmistaa, että laite käynnistyy vain ohjelmistoilla, jotka on digitaalisesti allekirjoitettu ja hyväksyttyjen varmentajien luottama. Vahvistamalla käynnistyslataimet ja laiteohjelmistokomponentit ennen käyttöjärjestelmän lataamista Secure Boot auttaa estämään rootkit-ohjelmia ja muita matalan tason haittaohjelmia vaarantamasta käynnistysprosessia.

Tämän suojauksen varmistamiseksi Secure Boot käyttää kryptografisia avaimia, joita kutsutaan varmentajiksi (CA). Nämä avaimet muodostavat luottamusketjun laiteohjelmiston ja käyttöjärjestelmän välille estäen allekirjoittamattoman tai peukaloidun koodin käynnistyksen alkuvaiheessa.

Kuten kaikilla digitaalisilla varmenteilla, Secure Boot -varmenteiden myöntäjillä on vanhenemispäivät. Alkuperäiset vuoden 2011 varmenteet vanhenevat kesäkuussa 2026. Järjestelmiin on asennettava päivitetyt vuoden 2023 varmenteet ennen kyseistä päivämäärää, jotta vältetään luottamuksen vahvistusvirheet, käynnistysongelmat tai mahdolliset keskeytykset tulevien päivitysten vastaanottamisessa.

Vuonna 2024 tai myöhemmin valmistetuissa tietokoneissa on yleensä jo vuoden 2023 varmenteet. Vanhemmille laitteistoille Microsoft toimittaa päivitetyt varmenteet Windows Updaten kautta osana jatkuvaa tietoturvan ylläpitoa, mutta voit myös asentaa ja korvata uudet varmenteet manuaalisesti.

Tässä oppaassa esittelen helpot vaiheet Secure Boot -varmenteiden tarkistamiseen ja manuaaliseen päivittämiseen Windows 11 -laitteellasi.

Tärkeää: Vaikka tämä on tiedot tuhoamaton prosessi, on silti suositeltavaa tehdä täydellinen varmuuskopio tietokoneestasi ennen jatkamista. Sinua on varoitettu.

Asenna vuoden 2023 Secure Boot -sertifikaatit Windows 11:een

Jos BitLocker on aktiivinen, sinun on poistettava salaus käytöstä tilapäisesti PowerShellissä ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2), ennen kuin laiteohjelmisto voi kirjoittaa uudet avaimet laitteeseen. Ennen kuin jatkat, varmista myös, että tietokoneesi on täysin päivitetty helmikuun 2026 tietoturvapäivitykseen (KB5077181) tai uudempaan versioon.

Päivitä Secure Boot -varmenteet ennen niiden vanhenemista vuonna 2026 seuraavasti:

1. Avaa Käynnistä .

    

    

2. Hae PowerShell (tai Pääte ), napsauta hiiren kakkospainikkeella ylintä tulosta ja valitse Suorita järjestelmänvalvojana -vaihtoehto.

3. Kirjoita tämä komento varmistaaksesi, että laite käyttää UEFIa ja Secure Boot on käytössä, ja kirjoita sitten :

   Vahvista-SecureBootUEFI

   Pikahuomautus: Jos tuloste on ”True”, voit jatkaa alla olevien vaiheiden kanssa. Muussa tapauksessa sinun on otettava käyttöön Secure Boot . Jos käytät Windows 10:tä, sinun on ehkä jopa vaihdettava vanhasta BIOSista UEFIin .

4. Kirjoita tämä komento tarkistaaksesi Secure Boot -sertifikaattien vanhenemispäivämäärän ja paina Enter-näppäintä : 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

5. (Tuloste 1) Jos tuloste on ”Tosi”, sinulla on uusi varmenne (voimassa vuoteen 2053 asti). Lopeta äläkä jatka.

6. (Tuloste 2) Jos tuloste on ”False”, sinulla on todennäköisesti edelleen vuoden 2011 sertifikaatti (vanhenee vuonna 2026). Jatka alla olevien vaiheiden mukaisesti.

7. Kirjoita tämä komento asettaaksesi rekisteriavaimen kaikkien tarvittavien varmenteiden käyttöönottoa varten ja paina Enter-näppäintä : 

   rekisteri lisää HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

8. Kirjoita tämä komento käynnistääksesi varmennemuutokset manuaalisesti ja paina Enter-näppäintä :

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

   

9. Käynnistä tietokone uudelleen kerran.

10. Käynnistä laite uudelleen toisen kerran ja jatka varmenteiden tarkistamista.

    Pikahuomautus: Päivityksen täysi käyttöönotto vaatii yleensä kaksi uudelleenkäynnistystä. Ensimmäisen uudelleenkäynnistyksen jälkeen järjestelmä päivittää käynnistyksen hallinnan. Toisen uudelleenkäynnistyksen jälkeen se viimeistelee varmenteen rekisteröinnin UEFI-tietokantaan.

11. Avaa Käynnistä .

12. Hae PowerShell (tai Pääte ), napsauta hiiren kakkospainikkeella ylintä tulosta ja valitse Suorita järjestelmänvalvojana -vaihtoehto.

13. Tarkista päivityksen onnistuminen kirjoittamalla seuraava komento ja painamalla Enter-näppäintä : 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Kun olet suorittanut vaiheet ja tuloste on ”True”, uudet varmenteet (voimassa vuoteen 2053 asti) on asennettu tietokoneellesi onnistuneesti. Jos tuloste on ”False”, varmenteet eivät asentuneet oikein.

On tärkeää huomata, että ”True” vahvistaa vuoden 2023 varmenteen myöntäjän rekisteröinnin, mutta se ei poista vuoden 2011 varmennetta välittömästi kaikissa tilanteissa. Joissakin järjestelmissä saatetaan näyttää molemmat tilapäisesti.

Jos tuloste pysyy prosessin jälkeen tilassa ”False”, tarkista virheet kohdasta Tapahtumienvalvonta > Sovellus- ja palvelulokit > Microsoft > Windows > SecureBoot-Update . Varmista myös, että ajoitettu tehtävä on olemassa, suorittamalla Get-ScheduledTask -TaskName "Secure-Boot-Update"komento.

Päivityksen jälkeen, jos jouduit poistamaan BitLockerin käytöstä, voit jatkaa salausta suorittamalla komennon Resume-BitLocker -MountPoint "C:", vaikka -RebootCount 2se jatkuu automaattisesti kahden uudelleenkäynnistyksen jälkeen.

Yksi huomionarvoinen asia on, että vuoden 2023 Secure Boot -sertifikaatit eivät ole tyhjästä keksittyjä. Microsoft sisällyttää uudet sertifikaatit Windowsin ylläpitopäivityksiin, yleensä osana kumulatiivista päivitystä tai tietoturvapäivitystä Windows 11:lle ja tuetuille Windows 10 -laitteille. 

Itse asiassa yritys on sisällyttänyt uudet Secure Boot -sertifikaatit helmikuun 2026 tietoturvapäivityksen (ja uudempien versioiden) julkaisusta lähtien .

Nämä varmenteet, jotka tunnetaan nimellä Windows UEFI CA 2023, ovat Microsoftin digitaalisesti allekirjoittamia ja Secure Boot luottaa niihin.

Jos varmenteet ovat jo tietokoneellasi, näiden ohjeiden avulla voit ottaa ne käyttöön välittömästi odottamatta järjestelmän automaattista päivityksen käsittelyä.