Slik installerer du 2023 Secure Boot-sertifikatene på Windows 11 (og 10) før utløpet i 2026

• Windows 11 (og 10) Secure Boot-sertifikater fra 2011 utløper i juni 2026.
• PC-er produsert i 2024 og senere inkluderer vanligvis 2023-sertifikatene. Eldre systemer kan trenge manuelle oppdateringer.
• Disse instruksjonene hjelper deg med å sjekke sertifikatdetaljer og installere 2023-sertifikater manuelt.

På Windows 11 og Windows 10 validerer og oppdaterer Microsoft gradvis Secure Boot-sertifikater gjennom standard systemoppdateringer. I de fleste tilfeller trenger du bare å holde deg oppdatert på de månedlige sikkerhetsoppdateringene for å sikre at enheten din er klar før fristen i juni 2026.

Hvis du imidlertid vil bekrefte eller bruke de nyere 2023 Secure Boot-sertifikatene selv, kan du fullføre prosessen manuelt. Denne veiledningen leder deg gjennom trinnene.

Sikker oppstart er en sikkerhetsfunksjon på fastvarenivå som er innebygd i Unified Extensible Firmware Interface (UEFI). Den sikrer at en enhet bare starter med programvare som er digitalt signert og klarert av godkjente sertifiseringsinstanser. Ved å validere oppstartslastere og fastvarekomponenter før operativsystemet lastes inn, bidrar sikker oppstart til å forhindre at rootkits og annen lavnivå-skadelig programvare kompromitterer oppstartsprosessen.

For å håndheve denne beskyttelsen er Secure Boot avhengig av kryptografiske nøkler kjent som sertifikatmyndigheter (CA-er). Disse nøklene etablerer en tillitskjede mellom fastvaren og operativsystemet, og blokkerer usignert eller manipulert kode under tidlig oppstart.

I likhet med alle digitale sertifikater har sertifikatmyndigheter for sikker oppstart utløpsdatoer. De originale sertifikatene fra 2011 utløper i juni 2026. Systemer må ha de oppdaterte sertifikatene fra 2023 installert før denne datoen for å unngå feil ved tillitsvalidering, oppstartsproblemer eller potensielle avbrudd i mottak av fremtidige oppdateringer.

Datamaskiner produsert i 2024 eller senere leveres vanligvis med 2023-sertifikatene allerede på plass. For eldre maskinvare leverer Microsoft de oppdaterte sertifikatene via Windows Update som en del av det løpende sikkerhetsvedlikeholdet, men du kan også installere og erstatte de nye sertifikatene manuelt.

I denne veiledningen vil jeg skissere de enkle trinnene for å sjekke og manuelt oppdatere sikker oppstartssertifikatene på Windows 11-enheten din.

Viktig: Selv om dette er en ikke-destruktiv prosess, anbefales det fortsatt at du tar en fullstendig sikkerhetskopi av datamaskinen din før du fortsetter. Du har blitt advart.

Installer 2023 Secure Boot-sertifikatene på Windows 11

Hvis BitLocker er aktiv, må du deaktivere krypteringen midlertidig i PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) før fastvaren kan skrive de nye nøklene til enheten. Før du fortsetter, må du også sørge for at datamaskinen er fullstendig oppdatert til sikkerhetsoppdateringen for februar 2026 (KB5077181) eller nyere.

For å oppdatere sertifikatene for sikker oppstart før de utløper i 2026, følg disse trinnene:

1. Åpne Start .

    

    

2. Søk etter PowerShell (eller Terminal ), høyreklikk på det øverste resultatet, og velg alternativet Kjør som administrator .

3. Skriv inn denne kommandoen for å bekrefte at enheten bruker UEFI med sikker oppstart aktivert, og skriv inn :

   Bekreft-SecureBootUEFI

   Kort merknad: Hvis resultatet er «Sann», kan du fortsette med trinnene nedenfor. Ellers må du aktivere sikker oppstart . Hvis du bruker Windows 10, må du kanskje til og med bytte fra den eldre BIOS til UEFI .

4. Skriv inn denne kommandoen for å sjekke utløpsdatoen for Secure Boot-sertifikatene, og trykk Enter : 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

5. (Utdata 1) Hvis utdataene er «Sann», har du det nye sertifikatet (gyldig til 2053). Stopp og ikke fortsett.

6. (Utdata 2) Hvis utdataene er «Falske», er du sannsynligvis fortsatt på 2011-sertifikatet (utløper i 2026). Fortsett med trinnene nedenfor.

7. Skriv inn denne kommandoen for å angi registernøkkelen til å distribuere alle nødvendige sertifikater, og trykk Enter : 

   reg legg til HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v Tilgjengelige oppdateringer /t REG_DWORD /d 0x5944 /f

8. Skriv inn denne kommandoen for å utløse sertifikatendringene manuelt, og trykk Enter :

   Start-PlanlagtOppgave -Oppgavenavn "\Microsoft\Windows\PI\Sikker-Oppstart-Oppdatering"

   

9. Start datamaskinen på nytt én gang.

10. Start enheten på nytt en gang til, og fortsett prosessen for å sjekke sertifikatene.

    Kort merknad: Oppdateringen krever vanligvis to omstarter for å tre i kraft. Etter den første omstarten oppdaterer systemet oppstartsbehandleren. Etter den andre fullfører det sertifikatregistreringen i UEFI-databasen.

11. Åpne Start .

12. Søk etter PowerShell (eller Terminal ), høyreklikk på det øverste resultatet, og velg alternativet Kjør som administrator.

13. Skriv inn denne kommandoen for å sjekke om oppdateringen er fullført, og trykk Enter : 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Når du har fullført trinnene, og resultatet er «Sann», har du installert de nye sertifikatene (gyldige til 2053) på datamaskinen. Hvis resultatet er «Falsk», ble ikke sertifikatene installert riktig.

Det er viktig å merke seg at «Sann» bekrefter registrering av 2023-sertifikatmyndigheten, men det fjerner ikke 2011-sertifikatet umiddelbart i alle scenarier. Noen systemer kan midlertidig vise begge.

Hvis resultatet forblir «False» etter prosessen, sjekk Hendelsesvisning > Program- og tjenestelogger > Microsoft > Windows > SecureBoot-Update for feil. Bekreft også at den planlagte oppgaven finnes ved å kjøre Get-ScheduledTask -TaskName "Secure-Boot-Update"kommandoen.

Hvis du måtte deaktivere BitLocker etter oppdateringen, kan du gjenoppta krypteringen ved å kjøre Resume-BitLocker -MountPoint "C:"kommandoen, selv om -RebootCount 2den gjenopptas automatisk etter to omstarter.

En ting å merke seg er at 2023 Secure Boot-sertifikatene ikke kommer fra løse luften. Microsoft inkluderer de nye sertifikatene i Windows-serviceoppdateringer, vanligvis som en del av en kumulativ oppdatering eller sikkerhetsoppdatering for Windows 11 og støttede Windows 10-enheter. 

Selskapet har faktisk inkludert de nye Secure Boot-sertifikatene siden utgivelsen av sikkerhetsoppdateringen i februar 2026 (og høyere utgivelser).

Disse sertifikatene, kjent som Windows UEFI CA 2023, er digitalt signert av Microsoft og klarert av Secure Boot.

Hvis sertifikatene allerede er på datamaskinen din, vil disse instruksjonene hjelpe deg med å bruke dem umiddelbart uten å vente på at systemet skal behandle oppdateringen automatisk.