Windows Secure Boot - 証明書の有効期限切れと証明書の更新

WindowsでSecure Bootのサポートが開始されてから、一般的にWindows OS搭載製品ではUEFI Secure Bootデータベース内でMicrosoftの証明書を使用しています。

これらのうち、2026年から順次、証明書の有効期限が切れていきます。それらのPCでは、ブートのセキュリティとトラストチェーンの整合性を維持するために、Microsoftの証明書を2023年版に更新する必要があります。

現在お使いのPCでSecure Bootが有効になっている場合、2026年中ごろの証明書が期限切れになる前に必ず更新してください。

 

更新に必要な対応方法   
次の更新方法のいずれか1つを実行し、新しいWindows Boot Managerが適用されるまでお待ちください。
 

[方法I] Windows Updateによる自動更新を利用

「Windows Update」が有効かつSecure Bootを有効化している場合([マザーボード] セキュアブートの有効/無効を設定する方法 | サポート 公式 | ASUS 日本)、対応するWindows OS搭載のPCでは適切なタイミングで新しいSecure Boot証明書と新しいBoot Managerを自動でダウンロード・適用します。

新しいSecure Bootデータベースの更新は2024年からSecure Bootが有効なデバイスへ段階的に配信されており、証明書の有効期限が切れる2026年6月までに自動で更新が完了します。

初期設定のままご利用のお客様においては、通常、追加の手動操作は必要ありません。

 

新しい証明書を自動でダウンロード・適用するため、「利用可能になったらすぐに最新の更新プログラムを入手する」を有効に設定してください。             

 

 

 

[方法II] UEFI BIOSを手動で更新し適用

※BIOSを更新した後、Windows OSにアクセスする場合にBitLocker回復キーの入力を求められる場合があります。対応方法が不明な場合は、[Windows 11/10] トラブルシューティング - 回復キーを求められる画面が表示された場合の対処方法 | サポート 公式 | ASUS 日本をご参照ください。
また、BIOSの更新前に「デバイスの暗号化」や「BitLocker」を一時的に無効にし、回復キーの入力を回避することも可能です。その場合は、[Windows 11/10] デバイスの暗号化 (BitLocker) | サポート 公式 | ASUS 日本をご参照の上、対応してください。一時的に無効にした場合、作業後に「デバイスの暗号化」や「BitLocker」をセキュリティ保護のため、再度、有効にするようお願いします。 

 

マザーボードの場合    

ASUS公式のサポートサイトから最新バージョンのUEFI BIOSをダウンロードして更新することで、更新されたSecure Boot証明書を取得いただけます。

こちらの方法はWindows Update経由での適用が実施できない環境で、PCをご使用されている場合に有効な方法です。

1. ASUS公式のサポートサイトから最新バージョンのUEFI BIOSをダウンロードして更新する場合、[マザーボード] マザーボードのBIOSを更新する方法(異なる世代のCPUを含む) | サポート 公式 | ASUS 日本をご参照ください。

2. Secure Boot Keyをクリアします。            
2.1 BIOSを更新してPCを再起動した後、再度BIOSへアクセスし、「Advanced Mode」内の「Boot」 → 「Secure Boot」に進みます。

「Secure Boot Mode」が「Standard」の場合、「Custom」に変更してください。

2.2 「Key Management」を選択します。

2.3 「Clear Secure Boot Keys」を選択します。

2.4 [Yes] を選択します。

2.5 すべてのUEFI Secure Boot Key(PK、KEK、DB、DBX)が正常にクリアされたことを確認します。

3. デフォルトのSecure Boot Keyをインストール            
3.1 Secure Boot Keyをクリアした後、「Install Default Secure Boot Keys」を選択します。            

3.2 [Yes] を選択します。

3.3 PK/KEK/DB/DBXのKeyのサイズ/数が0でないこと、Key Sourceが[Default]であることを確認します。UEFI Secure Boot Keyの更新プロセスはこれで完了です。

 

Q&A            
質問1:UEFI Secure Boot Keyの状態を確認する方法は?            
回答:以下の手順に従ってください。            
1. BIOSページで、「Advanced Mode」内の「Boot」 → 「Secure Boot」 → 「Key Management」に進みます。    
2. それぞれ以下の項目を選択し、「Delete Key」を選択します。            
➢ KEK管理            
➢ DB管理

3. 表示される画面で「No」を選択します。※この操作はキー情報の表示のみを目的としています。「Yes」を選択するとキーが削除されます。

4. KEK管理に「Microsoft Corporation KEK 2K CA 2023」が含まれていることを確認してください。

5. DB管理に「Microsoft UEFI CA 2023」と「Windows UEFI CA 2023」の両方が含まれていることを確認してください。

 

ノートPCの場合

ASUS公式のサポートサイトから最新バージョンのUEFI BIOSをダウンロードして更新することで、更新されたSecure Boot証明書を取得いただけます。      
こちらの方法はWindows Update経由での適用が実施できない環境で、PCをご使用されている場合に有効な方法です。
1. ASUS公式のサポートサイトから最新バージョンのUEFI BIOSをダウンロードして更新する場合、Windows 搭載 PC で BIOS バージョンを更新する方法 | サポート 公式 | ASUS 日本をご参照ください。    
2. セットアップモードにリセットします。           
2.1 BIOSを更新してPCを再起動した後、再度BIOSへアクセスし、「Advanced Mode」内の「Boot」 → 「Secure Boot」に進みます。
2.2 「Key Management」を選択します。

2.3 「Reset To Setup Mode」を選択します。

2.4 [Yes] を選択します。

2.5 すべてのUEFI Secure Boot Key(PK、KEK、DB、DBX)が正常にクリアされたことを確認します。

3. デフォルトのSecure Boot Keyを復元        
3.1 「Restore Factory Keys」を選択します。    

           
3.2 [Yes] を選択します。

3.3 PK/KEK/DB/DBXのKeyのサイズ/数が0でないこと、Key Sourceが[Default]であることを確認します。UEFI Secure Boot Keyの更新プロセスはこれで完了です。    

           
 

Q&A            
質問 1: UEFI Secure Boot Keyの状態を確認する方法は?           
回答: 以下の手順に従ってください。            
1. BIOSページで、「Advanced Mode」内の「Boot」 → 「Secure Boot」 → 「Key Management」に進みます。    
2. それぞれ以下の項目を選択し、「Details」を選択します。     
➢ Key Exchange Keys (KEK)            
➢ Authorized Signatures (db)

3. Key Exchange Keys (KEK) に「Microsoft Corporation KEK 2K CA 2023」が含まれていることを確認してください。

4. Authorized Signatures (db) に「Microsoft UEFI CA 2023」と「Windows UEFI CA 2023」の両方が含まれていることを確認してください。

 

AIOTの場合

ASUS公式のサポートサイトから最新バージョンのUEFI BIOSをダウンロードして更新することで、更新されたSecure Boot証明書を取得いただけます。

こちらの方法はWindows Update経由での適用が実施できない環境で、PCをご使用されている場合に有効な方法です。 
1. ASUS公式のサポートサイトから最新バージョンのUEFI BIOSをダウンロードして更新する場合、[AIOT] BIOS の更新方法 | サポート 公式 | ASUS 日本をご参照ください。 
2. デフォルトのSecure Boot Keyをインストールします。
2.1 BIOSを更新してAIOTを再起動した後、再度BIOSへアクセスし、「Security」 → 「Secure Boot」に進みます。

2.2 「Secure Boot Mode」が「Custom」の場合、「Standard」に変更してください。

2.3 「OK」を選択します。(「Key Managementで工場出荷時のデフォルトをインストール」を適用)

2.4 「Expert Key Management」を選択します。

2.5 PK、KEK、DB、DBXのサイズ/キーの数がゼロでないことを確認します。

 

Q&A            
質問1:UEFI Secure Boot Keyの状態、および、2023年Microsoft証明書がインストールされているかの確認方法は?            
回答:以下の手順に従ってください。

1. 「Secure Boot Mode」が「Custom」の場合、「Standard」に変更してください。         

2. 「OK」を選択します。

3. 「Expert Key Management」を選択します。

4. 「Key Exchange Keys (KEK)」 → 「Details」を選択します。

5. KEK Managementに「Microsoft Corporation KEK 2K CA 2023」が含まれていることを確認します。

6. 「Authorized Signatures (db)」 → 「Details」を選択します。

7. DB Managementに次のすべてが含まれていることを確認します。「Windows UEFI CA 2023」、「Microsoft UEFI CA 2023」、「Microsoft Option ROM UEFI CA 2023」

 

 

※掲載されている表示画面が英語表記の場合があり、日本語環境でご利用いただいている場合、実際の表示画面と異なる場合があります。 

※プリインストールされている OS 以外はサポート対象外となりますので、ご注意ください。 

※日本でお取り扱いの無い製品/機能に関する情報の場合があります。 

※本情報の内容 (リンク先がある場合はそちらを含む) は、予告なく変更される場合があります。 

※修理で端末などをご送付いただく際は、ASUS カスタマーサービスセンターなどから特定の物などを依頼されない限り、本体を含め、AC アダプター、電源コードなど同梱されていた通電機器も合せてご送付ください。 

※お使いのモデルやバージョンなどにより、操作・表示が異なる場合があります。

 ※記載されている機能の開発およびサポートを終了している場合があります。