[Commercial PC] Oznámení o aktualizaci certifikátu Windows Secure Boot
Společnost Microsoft plánuje postupně nahradit „Secure Boot” certifikáty používané v systémech Windows od roku 2026. Secure Boot certifikáty jsou navrženy tak, aby zabránily škodlivému softwaru—jako jsou bootkity—vložit zavaděče během spouštění, a tím zajistily integritu prostředí bootování.
Aktuálně používané certifikáty—„Microsoft Corporation KEK CA 2011” a „Microsoft Windows Production PCA 2011”—se blíží k vypršení platnosti. Pokud nedojde k jejich aktualizaci na nové certifikáty—„Microsoft Corporation KEK 2K CA 2023” a „Windows UEFI CA 2023”—zařízení již nebudou moci přijímat aktualizace pro Windows Boot Manager a další klíčové bezpečnostní komponenty.
Pro zajištění, že vaše firemní PC bude nadále využívat ochranu Secure Boot a pravidelné systémové aktualizace, prosím, postupujte podle níže uvedených pokynů pro ověření stavu vašeho zařízení.
Sekce 2. Je mé zařízení ovlivněno?
2.1 Není ovlivněno (Nový certifikát je podporován ve výchozím nastavení)
Všechny firemní počítače dodávané v roce 2024 nebo později, stejně jako všechny budoucí nové modely, mají nový Secure Boot certifikát předinstalován. Není nutná žádná ruční aktualizace.
Laptopy (NB): Následující modely, stejně jako všechny série uvedené po roce 2024.
| Název modelu |
| BM3406CGA |
| BM3606CGA |
| PM5406CGA |
| PM5606CGA |
| BM3406CHA |
| BM3606CHA |
| PM3406CHA |
| PM3606CHA |
| PM3406CKAZ |
| PM3406CKA |
| PM3606CKA |
| PM1403CDA |
| PM1503CDA |
| B5405CCA |
| B3405CCA |
| B5605CCA |
| B3605CCA |
| P3405CVA |
| P3605CVA |
| B5605CVA |
| B3605CVA |
| B5405CVA |
| B3405CVA |
| BR1204FTA |
| BR1204CTA |
| BR1104FTA |
| BR1104CTA |
| B1403CTA |
| B1503CTA |
| B3402FVA |
| BM1403CDA |
| BM1503CDA |
| B1403CVA |
| B1503CVA |
| P1403CVA |
| P1503CVA |
| P5405CSA |
Stolní počítače: Následující modely, stejně jako všechny série uvedené po roce 2024.
| Název modelu |
| P500SV |
| V500SV |
| PM700MK |
| PM700SK |
| D900MF |
| D900SF |
| T701MF |
| D700MF |
| T500MV |
| P500MV |
| D700MER |
| D700ME |
| X500MA |
| D701MER |
| S701TER |
| D901MDR |
| D500TER |
| D700TER |
| D901SDR |
| S501MER |
| PD500TE |
| G15DS |
| D800MDR |
| G16CH |
| G13CH |
| S501ME |
| D500TE |
| D700TE |
| G35CA |
| D900MD |
| D500SD |
| D500MD |
| D700MD |
| D500TD |
| D700TD |
| G15CF |
| D900MC |
| D500SC |
| D700SC |
| D500TC |
| D700TC |
| PD500TC |
| G10CE |
| G35CG |
| GA35DX |
| D700SF |
| V500MV |
| D501MER |
| D701SER |
| D501SER |
| T501MV |
| D900MDR |
| D800SDR |
| D900SDR |
| S502ME |
| S502MER |
| D500MER |
| D500SER |
| D700SER |
| D900SC |
| D900SD |
| G35DX |
| S501MC |
| S502MD |
| S500TD |
| S501MD |
| S500TC |
| S500MC |
| S700SC |
| D700MC |
| S500MD |
| S500SC |
| S500SD |
| D701TC |
| D700SD |
| D500SE |
| D500ME |
| D700SE |
Vše v jednom (AIO): Následující modely, stejně jako všechny série uvedené po roce 2024.
| Název modelu |
| PM640KA |
| PM670KA |
2.2 Modely, které vyžadují aktualizaci
Pokud váš model není uveden výše, znamená to, že zařízení aktuálně používá starší certifikát a bude potřeba jej aktualizovat.
Jak získám aktualizaci?
U postižených modelů společnost ASUS dokončila podání nového certifikátu. Aktualizace bude automaticky doručena společností Microsoft prostřednictvím Windows Update.
Doporučený postup: Přejděte do Nastavení > Windows Update a ujistěte se, že máte povoleny automatické aktualizace.
Automatická instalace: Systém automaticky stáhne a nainstaluje nejnovější bezpečnostní certifikát — nejsou vyžadovány žádné ruční nástroje ani stahování.
Sekce 3. Microsoft Třetí strany Secure Boot certifikáty: Funkčnost a nezbytnost
Tato sekce vysvětluje třetí strany Secure Boot certifikáty společnosti Microsoft. Pokud vaše zařízení potřebuje spouštět ne-Windows prostředí (např. Linux) nebo hardware třetích stran (např. externí GPU), prosím přečtěte si následující.
3.1 Přehled Microsoft 3rd Party Certifikátu
| Původní certifikát | Aktualizovaný certifikát | Popis |
| Microsoft Corporation UEFI CA 2011 | Microsoft UEFI CA 2023 | Toto je volitelný certifikát používaný „během spouštěcího procesu“ k podepisování aplikací nebo operačních systémů třetích stran (jako je Linux) spouštěných mimo prostředí Windows. Není vyžadován, pokud tyto případy použití jsou nepoužitelné. |
| Microsoft Option ROM UEFI CA 2023 | Toto je volitelný certifikát používaný „během spouštěcího procesu“ k podepisování Option ROM externího hardwaru. Pokud hardware třetí strany (jako je externí GPU) není nezbytný během spouštěcího procesu systému, tento certifikát je nepoužitelný. |
3.2 Pokud jsou vyžadovány Microsoft 3rd Party certifikáty, podívejte se na následující pokyny
Poznámka: Pokud má váš komerční počítač povolený Windows BitLocker, pozastavte jej předem podle níže uvedených pokynů před prováděním jakýchkoli operací Secure Boot.

Sekce 4. Kontrola stavu certifikátu BIOS a určení aktualizací
Zařízení dodávaná v roce 2026 již obsahují tyto certifikáty. Můžete vstoupit do BIOS Setup (stiskněte F2 během spouštění) pro ověření nebo nastavení možností certifikátů třetích stran.

Dále se můžete podívat do Oddílu 8.3 pro ověření, zda jsou certifikáty třetích stran přítomné. Pokud nejsou zahrnuty, prosím aktualizujte BIOS na nejnovější verzi a postupujte podle Oddíl 5. SOP 1: Aktualizace Secure Boot certifikátů.
Pokud požadované certifikáty třetích stran stále nejsou zobrazeny, pokračujte na Oddíl 6. SOP 2: Přidání Secure Boot certifikátů.
Pokud resetování Secure Boot klíčů povede k tomu, že se při spuštění Windows zobrazí následující obrazovka, prosím postupujte podle Oddíl 7. SOP 3: Obnovení Secure Boot certifikátů.

Odkazy
- https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
- https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e
Sekce 5. SOP 1: Aktualizace certifikátů Secure Boot
Poznámky před operací:
- Důrazně doporučujeme předem zálohovat všechna data na vašem počítači, abyste zabránili případné ztrátě dat během ručního procesu aktualizace.
- Pokud je zapnutý BitLocker, prosím ujistěte se, že je před pokračováním v následujících krocích pozastaven. Po dokončení procesu může být BitLocker znovu povolen.
- Nepozastavení BitLockeru může vést k zablokování. V případech, kdy BitLocker nemůže automaticky odemknout šifrovaný Windows disk, bude vyžadován obnovovací klíč. Tento klíč je 48-místný číselný kód, který vám umožní znovu získat přístup k vašemu pevnému disku. Pokud neznáte postupy uvedené níže, kontaktujte nás prosím pro asistenci.
Pokud potřebujete získat svůj obnovovací klíč BitLocker, podívejte se na článek: Jak získat svůj BitLocker Recovery Key.
Postupové kroky
- Zapněte nebo restartujte systém, poté stiskněte F2 pro vstup do nastavení BIOS.
Stiskněte F7 pro přepnutí do pokročilého režimu, poté přejděte na Security > Secure Boot (nebo přímo Security > Secure Boot).
- Vyberte Key Management.

- Vyberte Authorized Signatures (db).

- Zvolte Update.

- Vyberte Ano.
Poznámka: Výběrem „Ano” obnovíte příslušné certifikáty na jejich tovární nastavení. Jakékoliv certifikáty přidané systémem nebo uživatelem budou odstraněny. - Vyberte Details pro ověření, že certifikáty Authorized Signatures (db) byly úspěšně aktualizovány.

- Stiskněte F10 pro Uložení & Ukončení.
- Pokud byl BitLocker dříve pozastaven, ujistěte se, že je znovu povolen.
Sekce 6. SOP 2: Přidání certifikátů Secure Boot
6.1 Přidat Microsoft UEFI CA 2023
- Stáhněte Microsoft UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239872 a uložte jej do kořenového adresáře USB disku (například “D:\microsoft uefi ca 2023.crt”).
- Zapněte nebo restartujte systém, poté stiskněte F2 pro vstup do BIOS nastavení.
Stiskněte F7 pro přepnutí do Pokročilého režimu, poté přejděte na Zabezpečení > Secure Boot (nebo přímo Zabezpečení > Secure Boot).
- Vyberte Správa klíčů.

- Vyberte autorizované podpisy (db).

- Zvolte Připojit.

- Vyberte Ne.

- Vyberte USB disk.

- Vyhledejte a vyberte soubor v kořenovém adresáři: „microsoft uefi ca 2023.crt”.
- Vyberte Public Key Certificate, poté stiskněte Enter na obrazovce potvrzení GUID.

- Vyberte Ano.

- Ověřte, že Microsoft UEFI CA 2023 je uveden pod Autorizované podpisy (db).

- Stiskněte F10 pro Uložit & Konec.
- Pokud byl BitLocker dříve pozastaven, ujistěte se, že je znovu povolen.
6.2 Přidat Microsoft Option ROM UEFI CA 2023
- Stáhněte Microsoft Option ROM UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2284009 a uložte jej do kořenového adresáře USB disku (např. „D:\microsoft option rom uefi ca 2023.crt”).
- Zapněte nebo restartujte systém a poté stiskněte F2 pro vstup do nastavení BIOS.
Stiskněte F7 pro přepnutí do pokročilého režimu, poté přejděte na Zabezpečení > Secure Boot (nebo přímo Zabezpečení > Secure Boot).
- Zvolte Správa klíčů.

- Zvolte Autorizované podpisy (db).

- Zvolte Připojit.

- Vyberte číslo.

- Vyberte USB disk.
- Najděte a vyberte soubor uložený v kořenovém adresáři: “microsoft option rom uefi ca 2023.crt”.
- Zvolte certifikát veřejného klíče, poté na potvrzovací obrazovce GUID stiskněte Enter.

- Vyberte Ano.

- Ověřte, že Microsoft Option ROM UEFI CA 2023 je nyní uveden pod Oprávněné podpisy (db).

- Stiskněte F10 pro Uložit & Konec.
- Pokud byl BitLocker dříve pozastaven, ujistěte se, že byl znovu aktivován.
Sekce 7. SOP 3: Obnovení certifikátů Secure Boot
- Stáhněte Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776 a uložte ji do kořenového adresáře USB disku (například “D:\windows uefi ca 2023.crt”).
- Zapněte nebo restartujte systém, poté stiskněte F2 pro vstup do nastavení BIOS.
Stiskněte F7 pro přepnutí do pokročilého režimu, poté přejděte na Zabezpečení > Secure Boot (nebo přímo Zabezpečení > Secure Boot).
- Vyberte Správa klíčů.

- Vyberte Oprávněné podpisy (db).

- Zvolte Přidat.

- Vyberte Ne.

- Vyberte USB disk.
- Vyhledejte a vyberte soubor uložený v kořenovém adresáři: „windows uefi ca 2023.crt”.
- Vyberte Osvědčení veřejného klíče, poté stiskněte Enter na potvrzovací obrazovce GUID.

- Vyberte Ano.

- Ověřte, že Windows UEFI CA 2023 je nyní uveden v části Povolené podpisy (db).

- Stiskněte F10 pro Uložení & Ukončení.
- Pokud je BitLocker povolen, ujistěte se, že máte svůj klíč pro obnovení BitLocker připravený.
Sekce 8. Metoda ověření certifikátu PowerShell
Jak ověřit stav klíče UEFI Secure Boot? Následující postupy neovlivní stav Windows BitLocker.
8.1 Předběžné kroky
Zadejte PowerShell do vyhledávacího pole Windows.
Ve výsledcích hledání klikněte pravým tlačítkem myši na Windows PowerShell a zvolte Spustit jako správce.

8.2 Ověření certifikátů Microsoft Windows Secure Boot
- Potvrďte, že Key Exchange Key (KEK) obsahuje \„Microsoft Corporation KEK 2K CA 2023”.
Spusťte: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Výsledek Pravda (True) znamená, že certifikát „Microsoft Corporation KEK 2K CA 2023“ je přítomen.
- Ověřte, že Databáze podpisů (DB) obsahuje „Windows UEFI CA 2023“.
Spusťte: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Výsledek Pravda (True) znamená, že certifikát „Windows UEFI CA 2023“ je přítomen.
8.3 Ověření Microsoft 3rd Party Secure Boot certifikátů
- Ověřte, že Databáze podpisů (DB) obsahuje „Microsoft UEFI CA 2023“.
Spusťte: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Výsledek Pravda (True) znamená, že certifikát „Microsoft UEFI CA 2023“ je přítomen.
- Ověřte, že Databáze podpisů (DB) obsahuje „Microsoft Option ROM UEFI CA 2023“.
Spustit: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023' Výsledek True znamená, že certifikát „Microsoft Option ROM UEFI CA 2023“ je přítomen.