[Commercial PC] Oznámení o aktualizaci certifikátu Windows Secure Boot

Sekce 1. Pozadí

Společnost Microsoft plánuje postupně nahradit „Secure Boot” certifikáty používané v systémech Windows od roku 2026. Secure Boot certifikáty jsou navrženy tak, aby zabránily škodlivému softwaru—jako jsou bootkity—vložit zavaděče během spouštění, a tím zajistily integritu prostředí bootování.

Aktuálně používané certifikáty—„Microsoft Corporation KEK CA 2011” a „Microsoft Windows Production PCA 2011”—se blíží k vypršení platnosti. Pokud nedojde k jejich aktualizaci na nové certifikáty—„Microsoft Corporation KEK 2K CA 2023” a „Windows UEFI CA 2023”—zařízení již nebudou moci přijímat aktualizace pro Windows Boot Manager a další klíčové bezpečnostní komponenty.

Pro zajištění, že vaše firemní PC bude nadále využívat ochranu Secure Boot a pravidelné systémové aktualizace, prosím, postupujte podle níže uvedených pokynů pro ověření stavu vašeho zařízení.

 

Sekce 2. Je mé zařízení ovlivněno?

2.1 Není ovlivněno (Nový certifikát je podporován ve výchozím nastavení)

Všechny firemní počítače dodávané v roce 2024 nebo později, stejně jako všechny budoucí nové modely, mají nový Secure Boot certifikát předinstalován. Není nutná žádná ruční aktualizace.

Laptopy (NB): Následující modely, stejně jako všechny série uvedené po roce 2024.

Název modelu
BM3406CGA
BM3606CGA
PM5406CGA
PM5606CGA
BM3406CHA
BM3606CHA
PM3406CHA
PM3606CHA
PM3406CKAZ
PM3406CKA
PM3606CKA
PM1403CDA
PM1503CDA
B5405CCA
B3405CCA
B5605CCA
B3605CCA
P3405CVA
P3605CVA
B5605CVA
B3605CVA
B5405CVA
B3405CVA
BR1204FTA
BR1204CTA
BR1104FTA
BR1104CTA
B1403CTA
B1503CTA
B3402FVA
BM1403CDA
BM1503CDA
B1403CVA
B1503CVA
P1403CVA
P1503CVA
P5405CSA

 

Stolní počítače: Následující modely, stejně jako všechny série uvedené po roce 2024.

Název modelu
P500SV
V500SV
PM700MK
PM700SK
D900MF
D900SF
T701MF
D700MF
T500MV
P500MV
D700MER
D700ME
X500MA
D701MER
S701TER
D901MDR
D500TER
D700TER
D901SDR
S501MER
PD500TE
G15DS
D800MDR
G16CH
G13CH
S501ME
D500TE
D700TE
G35CA
D900MD
D500SD
D500MD
D700MD
D500TD
D700TD
G15CF
D900MC
D500SC
D700SC
D500TC
D700TC
PD500TC
G10CE
G35CG
GA35DX
D700SF
V500MV
D501MER
D701SER
D501SER
T501MV
D900MDR
D800SDR
D900SDR
S502ME
S502MER
D500MER
D500SER
D700SER
D900SC
D900SD
G35DX
S501MC
S502MD
S500TD
S501MD
S500TC
S500MC
S700SC
D700MC
S500MD
S500SC
S500SD
D701TC
D700SD
D500SE
D500ME
D700SE

 

Vše v jednom (AIO): Následující modely, stejně jako všechny série uvedené po roce 2024.

Název modelu
PM640KA
PM670KA

 

2.2 Modely, které vyžadují aktualizaci

Pokud váš model není uveden výše, znamená to, že zařízení aktuálně používá starší certifikát a bude potřeba jej aktualizovat.

 

Jak získám aktualizaci?

U postižených modelů společnost ASUS dokončila podání nového certifikátu. Aktualizace bude automaticky doručena společností Microsoft prostřednictvím Windows Update.

 

Doporučený postup: Přejděte do Nastavení > Windows Update a ujistěte se, že máte povoleny automatické aktualizace.

Automatická instalace: Systém automaticky stáhne a nainstaluje nejnovější bezpečnostní certifikát — nejsou vyžadovány žádné ruční nástroje ani stahování.

 

Sekce 3. Microsoft Třetí strany Secure Boot certifikáty: Funkčnost a nezbytnost

Tato sekce vysvětluje třetí strany Secure Boot certifikáty společnosti Microsoft. Pokud vaše zařízení potřebuje spouštět ne-Windows prostředí (např. Linux) nebo hardware třetích stran (např. externí GPU), prosím přečtěte si následující.

3.1 Přehled Microsoft 3rd Party Certifikátu

Původní certifikátAktualizovaný certifikátPopis
Microsoft Corporation UEFI CA 2011Microsoft UEFI CA 2023

Toto je volitelný certifikát používaný „během spouštěcího procesu“ k podepisování aplikací nebo operačních systémů třetích stran (jako je Linux) spouštěných mimo prostředí Windows.

Není vyžadován, pokud tyto případy použití jsou nepoužitelné.

Microsoft Option ROM UEFI CA 2023Toto je volitelný certifikát používaný „během spouštěcího procesu“ k podepisování Option ROM externího hardwaru.   
Pokud hardware třetí strany (jako je externí GPU) není nezbytný během spouštěcího procesu systému, tento certifikát je nepoužitelný.

 

3.2 Pokud jsou vyžadovány Microsoft 3rd Party certifikáty, podívejte se na následující pokyny

Poznámka: Pokud má váš komerční počítač povolený Windows BitLocker, pozastavte jej předem podle níže uvedených pokynů před prováděním jakýchkoli operací Secure Boot.

 

Sekce 4. Kontrola stavu certifikátu BIOS a určení aktualizací

Zařízení dodávaná v roce 2026 již obsahují tyto certifikáty. Můžete vstoupit do BIOS Setup (stiskněte F2 během spouštění) pro ověření nebo nastavení možností certifikátů třetích stran.

 

Dále se můžete podívat do Oddílu 8.3 pro ověření, zda jsou certifikáty třetích stran přítomné. Pokud nejsou zahrnuty, prosím aktualizujte BIOS na nejnovější verzi a postupujte podle Oddíl 5. SOP 1: Aktualizace Secure Boot certifikátů.

 

Pokud požadované certifikáty třetích stran stále nejsou zobrazeny, pokračujte na Oddíl 6. SOP 2: Přidání Secure Boot certifikátů.

 

Pokud resetování Secure Boot klíčů povede k tomu, že se při spuštění Windows zobrazí následující obrazovka, prosím postupujte podle Oddíl 7. SOP 3: Obnovení Secure Boot certifikátů.

 

Odkazy

  1. https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
  2. https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e

 

Sekce 5. SOP 1: Aktualizace certifikátů Secure Boot

Poznámky před operací:

  1. Důrazně doporučujeme předem zálohovat všechna data na vašem počítači, abyste zabránili případné ztrátě dat během ručního procesu aktualizace.
  2. Pokud je zapnutý BitLocker, prosím ujistěte se, že je před pokračováním v následujících krocích pozastaven. Po dokončení procesu může být BitLocker znovu povolen.
  3. Nepozastavení BitLockeru může vést k zablokování. V případech, kdy BitLocker nemůže automaticky odemknout šifrovaný Windows disk, bude vyžadován obnovovací klíč. Tento klíč je 48-místný číselný kód, který vám umožní znovu získat přístup k vašemu pevnému disku. Pokud neznáte postupy uvedené níže, kontaktujte nás prosím pro asistenci.

Pokud potřebujete získat svůj obnovovací klíč BitLocker, podívejte se na článek: Jak získat svůj BitLocker Recovery Key.

 

Postupové kroky

  1. Zapněte nebo restartujte systém, poté stiskněte F2 pro vstup do nastavení BIOS.   
    Stiskněte F7 pro přepnutí do pokročilého režimu, poté přejděte na Security > Secure Boot (nebo přímo Security > Secure Boot).   
  2. Vyberte Key Management.   
  3. Vyberte Authorized Signatures (db).   
  4. Zvolte Update.   
  5. Vyberte Ano.   
      
    Poznámka: Výběrem „Ano” obnovíte příslušné certifikáty na jejich tovární nastavení. Jakékoliv certifikáty přidané systémem nebo uživatelem budou odstraněny.
  6. Vyberte Details pro ověření, že certifikáty Authorized Signatures (db) byly úspěšně aktualizovány.   
  7. Stiskněte F10 pro Uložení & Ukončení.
  8. Pokud byl BitLocker dříve pozastaven, ujistěte se, že je znovu povolen.

 

Sekce 6. SOP 2: Přidání certifikátů Secure Boot
6.1 Přidat Microsoft UEFI CA 2023
  1. Stáhněte Microsoft UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239872 a uložte jej do kořenového adresáře USB disku (například “D:\microsoft uefi ca 2023.crt”).
  2. Zapněte nebo restartujte systém, poté stiskněte F2 pro vstup do BIOS nastavení.   
    Stiskněte F7 pro přepnutí do Pokročilého režimu, poté přejděte na Zabezpečení > Secure Boot (nebo přímo Zabezpečení > Secure Boot).   
  3. Vyberte Správa klíčů.   
  4. Vyberte autorizované podpisy (db).   
  5. Zvolte Připojit.   
  6. Vyberte Ne.   
  7. Vyberte USB disk.   
  8. Vyhledejte a vyberte soubor v kořenovém adresáři: „microsoft uefi ca 2023.crt”.
  9. Vyberte Public Key Certificate, poté stiskněte Enter na obrazovce potvrzení GUID.   
  10. Vyberte Ano.   
  11. Ověřte, že Microsoft UEFI CA 2023 je uveden pod Autorizované podpisy (db).   
  12. Stiskněte F10 pro Uložit & Konec.
  13. Pokud byl BitLocker dříve pozastaven, ujistěte se, že je znovu povolen.

 

6.2 Přidat Microsoft Option ROM UEFI CA 2023
  1. Stáhněte Microsoft Option ROM UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2284009 a uložte jej do kořenového adresáře USB disku (např. „D:\microsoft option rom uefi ca 2023.crt”).
  2. Zapněte nebo restartujte systém a poté stiskněte F2 pro vstup do nastavení BIOS.   
    Stiskněte F7 pro přepnutí do pokročilého režimu, poté přejděte na Zabezpečení > Secure Boot (nebo přímo Zabezpečení > Secure Boot).   
  3. Zvolte Správa klíčů.   
  4. Zvolte Autorizované podpisy (db).   
  5. Zvolte Připojit.   
  6. Vyberte číslo.   
  7. Vyberte USB disk.
  8. Najděte a vyberte soubor uložený v kořenovém adresáři: “microsoft option rom uefi ca 2023.crt”.
  9. Zvolte certifikát veřejného klíče, poté na potvrzovací obrazovce GUID stiskněte Enter.   
  10. Vyberte Ano.   
  11. Ověřte, že Microsoft Option ROM UEFI CA 2023 je nyní uveden pod Oprávněné podpisy (db).   
  12. Stiskněte F10 pro Uložit & Konec.
  13. Pokud byl BitLocker dříve pozastaven, ujistěte se, že byl znovu aktivován.

 

Sekce 7. SOP 3: Obnovení certifikátů Secure Boot
  1. Stáhněte Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776 a uložte ji do kořenového adresáře USB disku (například “D:\windows uefi ca 2023.crt”).
  2. Zapněte nebo restartujte systém, poté stiskněte F2 pro vstup do nastavení BIOS.   
    Stiskněte F7 pro přepnutí do pokročilého režimu, poté přejděte na Zabezpečení > Secure Boot (nebo přímo Zabezpečení > Secure Boot).   
  3. Vyberte Správa klíčů.   
  4. Vyberte Oprávněné podpisy (db).   
  5. Zvolte Přidat.   
  6. Vyberte Ne.   
  7. Vyberte USB disk.
  8. Vyhledejte a vyberte soubor uložený v kořenovém adresáři: „windows uefi ca 2023.crt”.
  9. Vyberte Osvědčení veřejného klíče, poté stiskněte Enter na potvrzovací obrazovce GUID.   
  10. Vyberte Ano.   
  11. Ověřte, že Windows UEFI CA 2023 je nyní uveden v části Povolené podpisy (db).   
  12. Stiskněte F10 pro Uložení & Ukončení.
  13. Pokud je BitLocker povolen, ujistěte se, že máte svůj klíč pro obnovení BitLocker připravený.

 

Sekce 8. Metoda ověření certifikátu PowerShell

Jak ověřit stav klíče UEFI Secure Boot? Následující postupy neovlivní stav Windows BitLocker.

8.1 Předběžné kroky

Zadejte PowerShell do vyhledávacího pole Windows.

Ve výsledcích hledání klikněte pravým tlačítkem myši na Windows PowerShell a zvolte Spustit jako správce.

 

8.2 Ověření certifikátů Microsoft Windows Secure Boot

  1. Potvrďte, že Key Exchange Key (KEK) obsahuje \„Microsoft Corporation KEK 2K CA 2023”.  
    Spusťte: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
    Výsledek Pravda (True) znamená, že certifikát „Microsoft Corporation KEK 2K CA 2023“ je přítomen.  
  2. Ověřte, že Databáze podpisů (DB) obsahuje „Windows UEFI CA 2023“.  
    Spusťte: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
    Výsledek Pravda (True) znamená, že certifikát „Windows UEFI CA 2023“ je přítomen.  

 

8.3 Ověření Microsoft 3rd Party Secure Boot certifikátů

  1. Ověřte, že Databáze podpisů (DB) obsahuje „Microsoft UEFI CA 2023“.  
    Spusťte: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
    Výsledek Pravda (True) znamená, že certifikát „Microsoft UEFI CA 2023“ je přítomen.  
  2. Ověřte, že Databáze podpisů (DB) obsahuje „Microsoft Option ROM UEFI CA 2023“.  
    Spustit: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023' Výsledek True znamená, že certifikát „Microsoft Option ROM UEFI CA 2023“ je přítomen.