Как вручную получить и установить сертификаты Secure Boot 2023

+Windows 3 мин
Howinstallcertificate

С июня по октябрь 2026 года Microsoft проведет замену устаревших сертификатов Secure Boot 2011 года. В конце июня истекает срок действия отвечающего за обмен ключами KEK Microsoft Corporation KEK CA 2011 и обеспечивающего доверие к сторонним загрузчикам и прошивкам Microsoft Corporation UEFI CA 201. В октябре же закончится срок действия основной сертификат Microsoft Windows Production PCA 2011, которым подписан Диспетчер загрузки Windows.

Если эти сертификаты не будут своевременно обновлены, компьютеры продолжат загружаться в обычном режиме, но ни Диспетчер загрузки Windows, ни другие компоненты Secure Boot больше не смогут получать обновления.

Апдейт сертификатов и что может пойти не так

По умолчанию сертификаты безопасности обновляются автоматически, но для этого компьютер должен соответствовать определенным требованиям. Проблемы с апдейтом могут возникнуть на ПК с устаревшим BIOS/UEFI, отключенной диагностикой и вообще нестандартной конфигурацией прошивки. Ну и само собой разумеется, что пакеты с сертификатами не придут, если на компьютере будет отключена функция обновления и Secure Boot. Проверить готовность компьютера к обновлению можно следующим образом:

Во-первых, убедитесь, что Secure Boot включена, выполнив в запущенной с правами администратора PowerShell команду:

Confirm-SecureBootUEFI

Она должна вернуть True, тогда как False или ошибка будет означать, что Boot отключена.

Confirm-SecureBootUEFI

Во-вторых, проверьте доступность новых сертификатов в активной базе DB.

Ответ должен быть True.

Используйте следующие команды:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

Get-SecureBootUEFI db

В-третьих, посмотрите статус обновления в ветке реестра:

HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Если вы видите параметр UEFICA2023Status со значением InProgress, все OK – система находится в ожидании обновления.

В случае ошибки в этом разделе появится параметр UEFICA2023Error с кодом, расшифровку которого можно получить в документации Microsoft по событиям Secure Boot.

UEFICA2023Status

Также вы можете заглянуть в Журнал событий, отфильтровав записи по коду 1801.

Статус ошибки TPM-WMI не должен смущать – в большинстве случаев это означает, что сертификаты успешно загружены, но пока не установлены в прошивку.

Чтобы их применить, нужно перезагрузить компьютер.

Не выключить и включить, а именно перезагрузить.

Статус ошибки

Когда может потребоваться ручное обновление сертификатов

Если проверка через PowerShell в базах DB и KEK возвращает false, если в реестре появился параметр UEFICA2023Error, если статус обновления застрял и остается InProgress даже после цикла перезагрузок или вы просто не хотите ждать, можете взять ситуацию под контроль и попробовать обновить сертификаты вручную.

Перед этим обязательно установите все последние накопительные обновления и сохраните ключ восстановления BitLocker, если используете шифрование.

Если доступны обновления для BIOS/UEFI, желательно их также установить.

Некоторые вендоры (ASUS, HP, Lenovo и Dell) даже выпустили апдейты специально под переход на новые версии сертификатов.

Далее следуйте инструкции.

  1. Откройте PowerShell с правами администратора и выполните эти две команды:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  1. Проверьте в реестре значение параметра AvailableUpdates из предыдущей команды – оно должно поменяться на 0x4100.
  2. Перезагрузите компьютер и выполните команду Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update" еще раз.
  3. Перезагрузитесь повторно – значение AvailableUpdates должно поменяться на 0x4000. Это будет означать, что обновление сертификатов безопасности прошло успешно.

Reg add

То, что операция прошла успешно, можно также убедиться, выполнив уже знакомую команду:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

Она должна вернуть True.

Если значение параметра AvailableUpdates после перезагрузки остается 0x4100, а в ветке:

HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Появился параметр UEFICA2023Error с ненулевым значением, скорее всего проблема в устаревшей прошивке BIOS/UEFI – обновите ее и повторите процедуру (лучше с самого начала).

Что еще нужно знать

Эта инструкция применима только к Windows 11, так как Windows 10 более не получает обновлений.

Важно также отметить, что созданные до мая 2023 года загрузочные флешки, спасательные диски, OEM-разделы восстановления, резервные копии системы на базе Acronis True Image и аналогичных программ после обновления сертификатов могут перестать работать.

Рекомендуем пересоздать их после обновления.

Проблемы с загрузкой Windows также могут возникнуть после сброса BIOS/UEFI к заводским настройкам, поскольку сброс предполагает восстановление конфигурации со старыми сертификатами.

Чтобы запустить Windows, нужно будет зайти в раздел Secure Boot и загрузить заводские ключи, выбрав опцию Restore Factory Keys, Install Default Secure Boot Keys или Restore Default Keys, а после того как Windows загрузится – повторить процедуру обновление сертификатов с нуля.

Оцените Статью:

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (1 оценок, среднее: 5,00 из 5)
Загрузка...

Читайте также

Устаревшие сертификаты Secure Boot – есть ли повод для беспокойства Как установить или обновить систему до Windows 11 без TPM 2.0 и Secure Boot Как в Windows 10 или 11 включить Secure Boot, если опция недоступна в BIOS Создание загрузочной флешки Windows 11 без проверки TPM и Secure Boot с помощью новой версии Rufus

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *