Så här installerar du 2023 Secure Boot-certifikaten på Windows 11 (och 10) innan de löper ut 2026

• Windows 11 (och 10) Secure Boot-certifikat från 2011 löper ut i juni 2026.
• Datorer tillverkade 2024 och senare har vanligtvis 2023 års certifikat. Äldre system kan behöva manuella uppdateringar.
• Dessa instruktioner hjälper dig att kontrollera certifikatinformation och manuellt installera 2023-certifikat.

I Windows 11 och Windows 10 validerar och uppdaterar Microsoft gradvis Secure Boot-certifikat genom standardsystemuppdateringar. I de flesta fall behöver du bara hålla dig uppdaterad om de månatliga säkerhetsuppdateringarna för att säkerställa att din enhet är redo före deadline i juni 2026.

Om du däremot vill verifiera eller tillämpa de nyare 2023 Secure Boot-certifikaten själv kan du slutföra processen manuellt. Den här guiden guidar dig genom stegen.

Säker start är en säkerhetsfunktion på firmware-nivå som är inbyggd i Unified Extensible Firmware Interface (UEFI). Den säkerställer att en enhet bara startar med programvara som är digitalt signerad och betrodd av godkända certifikatutfärdare. Genom att validera bootloaders och firmware-komponenter innan operativsystemet laddas, hjälper säker start till att förhindra att rootkits och annan skadlig programvara på låg nivå äventyrar startprocessen.

För att upprätthålla detta skydd förlitar sig Secure Boot på kryptografiska nycklar som kallas certifikatutfärdare (CA). Dessa nycklar upprättar en förtroendekedja mellan firmware och operativsystemet, vilket blockerar osignerad eller manipulerad kod under tidig start.

I likhet med alla digitala certifikat har certifikatutfärdare för säker start utgångsdatum. De ursprungliga certifikaten från 2011 löper ut i juni 2026. System måste ha de uppdaterade certifikaten från 2023 installerade före det datumet för att undvika fel vid validering av förtroende, startproblem eller potentiella avbrott i framtida uppdateringar.

Datorer tillverkade 2024 eller senare levereras vanligtvis med 2023 års certifikat redan på plats. För äldre hårdvara levererar Microsoft de uppdaterade certifikaten via Windows Update som en del av det löpande säkerhetsunderhållet, men du kan också installera och ersätta de nya certifikaten manuellt.

I den här guiden beskriver jag de enkla stegen för att kontrollera och manuellt uppdatera Secure Boot-certifikaten på din Windows 11-enhet.

Viktigt: Även om detta är en icke-förstörande process rekommenderas det fortfarande att du gör en fullständig säkerhetskopia av din dator innan du fortsätter. Du har blivit varnad.

Installera 2023 Secure Boot-certifikaten på Windows 11

Om BitLocker är aktivt måste du tillfälligt inaktivera krypteringen i PowerShell ( Suspend-BitLocker -MountPoint "C:" -RebootCount 2) innan den inbyggda programvaran kan skriva de nya nycklarna till enheten. Innan du fortsätter, se också till att din dator är helt uppdaterad till säkerhetsuppdateringen från februari 2026 (KB5077181) eller senare.

För att uppdatera Secure Boot-certifikaten innan de löper ut 2026, följ dessa steg:

1. Öppna Start .

    

    

2. Sök efter PowerShell (eller Terminal ), högerklicka på det översta resultatet och välj alternativet Kör som administratör .

3. Skriv det här kommandot för att bekräfta att enheten använder UEFI med säker start aktiverad och ange :

   Bekräfta-SecureBootUEFI

   Snabb anmärkning: Om utdata är "True" kan du fortsätta med stegen nedan. Annars måste du aktivera säker start . Om du använder Windows 10 kan du till och med behöva byta från den äldre BIOS till UEFI .

4. Skriv det här kommandot för att kontrollera utgångsdatumet för Secure Boot-certifikaten och tryck på Enter : 

   [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

   

5. (Utdata 1) Om utdata är "Sant" har du det nya certifikatet (giltigt till 2053). Stoppa och fortsätt inte.

6. (Utdata 2) Om utdata är "Falskt" har du troligtvis fortfarande 2011 års certifikat (som löper ut 2026). Fortsätt med stegen nedan.

7. Skriv det här kommandot för att ställa in registernyckeln för att distribuera alla nödvändiga certifikat och tryck på Enter : 

   reg lägg till HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v Tillgängliga uppdateringar /t REG_DWORD /d 0x5944 /f

8. Skriv det här kommandot för att utlösa certifikatändringarna manuellt och tryck på Enter :

   Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

   

9. Starta om datorn en gång.

10. Starta om enheten en andra gång och fortsätt med processen för att kontrollera certifikaten.

    Snabbt meddelande: Uppdateringen kräver vanligtvis två omstarter för att fungera helt. Efter den första omstarten uppdaterar systemet starthanteraren. Efter den andra slutförs certifikatregistreringen i UEFI-databasen.

11. Öppna Start .

12. Sök efter PowerShell (eller Terminal ), högerklicka på det översta resultatet och välj alternativet Kör som administratör.

13. Skriv det här kommandot för att kontrollera om uppdateringen har slutförts och tryck på Enter : 

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

När du har slutfört stegen, om resultatet är "Sant", har du installerat de nya certifikaten (giltiga till 2053) på din dator. Om resultatet är "Falskt" har certifikaten inte installerats korrekt.

Det är viktigt att notera att "Sant" bekräftar registreringen av 2023 års certifikatutfärdare, men det tar inte bort 2011 års certifikat omedelbart i alla scenarier. Vissa system kan tillfälligt visa båda.

Om utdata förblir "False" efter processen, kontrollera Loggboken > Program- och tjänstloggar > Microsoft > Windows > SecureBoot-Update för fel. Bekräfta också att den schemalagda uppgiften finns genom att köra Get-ScheduledTask -TaskName "Secure-Boot-Update"kommandot.

Om du var tvungen att inaktivera BitLocker efter uppdateringen kan du återuppta krypteringen genom att köra Resume-BitLocker -MountPoint "C:"kommandot, även om -RebootCount 2den återupptas automatiskt efter två omstarter.

En sak att notera är att 2023 års Secure Boot-certifikat inte kommer från tomma intet. Microsoft inkluderar de nya certifikaten i Windows-serviceuppdateringar, vanligtvis som en del av en kumulativ uppdatering eller säkerhetsuppdatering för Windows 11 och stödda Windows 10-enheter. 

Företaget har faktiskt inkluderat de nya Secure Boot-certifikaten sedan säkerhetsuppdateringen i februari 2026 (och senare versioner) släpptes .

Dessa certifikat, kända som Windows UEFI CA 2023, är digitalt signerade av Microsoft och betrodda av Secure Boot.

Om certifikaten redan finns på din dator hjälper dessa instruktioner dig att tillämpa dem omedelbart utan att vänta på att systemet ska bearbeta uppdateringen automatiskt.