[Commercial PC] Obaveštenje o ažuriranju Windows Secure Boot sertifikata
Microsoft planira postepeno zameniti „Secure Boot” sertifikate koji se koriste u Windows sistemima počev od 2026. Secure Boot sertifikati su dizajnirani da spreče zlonamerni softver—kao što su bootkit-i—da ugrađuju učitavače tokom procesa pokretanja, čime se obezbeđuje integritet okruženja za boot.
Trenutno implementirani sertifikati—„Microsoft Corporation KEK CA 2011” i „Microsoft Windows Production PCA 2011”—bliže se isteku. Ako se ne ažuriraju na nove sertifikate—„Microsoft Corporation KEK 2K CA 2023” i „Windows UEFI CA 2023”—uređaji više neće moći da primaju ažuriranja za Windows Boot Manager i druge ključne bezbednosne komponente.
Da bi vaš komercijalni PC nastavio da koristi Secure Boot zaštitu i redovna ažuriranja sistema, molimo vas da sledite uputstva ispod za proveru statusa vašeg uređaja.
Sekcija 2. Da li je moj uređaj pogođen?
2.1 Nije pogođen (Novi sertifikat podržan po default-u)
Svi poslovni PC-ji isporučeni 2024. ili kasnije, kao i svi budući novi modeli, imaju novi Secure Boot sertifikat unapred integrisan. Ručno ažuriranje nije potrebno.
Laptopovi (NB): Sledeći modeli, kao i sve serije lansirane nakon 2024.
| Ime modela |
| BM3406CGA |
| BM3606CGA |
| PM5406CGA |
| PM5606CGA |
| BM3406CHA |
| BM3606CHA |
| PM3406CHA |
| PM3606CHA |
| PM3406CKAZ |
| PM3406CKA |
| PM3606CKA |
| PM1403CDA |
| PM1503CDA |
| B5405CCA |
| B3405CCA |
| B5605CCA |
| B3605CCA |
| P3405CVA |
| P3605CVA |
| B5605CVA |
| B3605CVA |
| B5405CVA |
| B3405CVA |
| BR1204FTA |
| BR1204CTA |
| BR1104FTA |
| BR1104CTA |
| B1403CTA |
| B1503CTA |
| B3402FVA |
| BM1403CDA |
| BM1503CDA |
| B1403CVA |
| B1503CVA |
| P1403CVA |
| P1503CVA |
| P5405CSA |
Desktop računari: Sledeći modeli, kao i sve serije lansirane nakon 2024.
| Ime modela |
| P500SV |
| V500SV |
| PM700MK |
| PM700SK |
| D900MF |
| D900SF |
| T701MF |
| D700MF |
| T500MV |
| P500MV |
| D700MER |
| D700ME |
| X500MA |
| D701MER |
| S701TER |
| D901MDR |
| D500TER |
| D700TER |
| D901SDR |
| S501MER |
| PD500TE |
| G15DS |
| D800MDR |
| G16CH |
| G13CH |
| S501ME |
| D500TE |
| D700TE |
| G35CA |
| D900MD |
| D500SD |
| D500MD |
| D700MD |
| D500TD |
| D700TD |
| G15CF |
| D900MC |
| D500SC |
| D700SC |
| D500TC |
| D700TC |
| PD500TC |
| G10CE |
| G35CG |
| GA35DX |
| D700SF |
| V500MV |
| D501MER |
| D701SER |
| D501SER |
| T501MV |
| D900MDR |
| D800SDR |
| D900SDR |
| S502ME |
| S502MER |
| D500MER |
| D500SER |
| D700SER |
| D900SC |
| D900SD |
| G35DX |
| S501MC |
| S502MD |
| S500TD |
| S501MD |
| S500TC |
| S500MC |
| S700SC |
| D700MC |
| S500MD |
| S500SC |
| S500SD |
| D701TC |
| D700SD |
| D500SE |
| D500ME |
| D700SE |
All-in-One (AIO): Sledeći modeli, kao i sve serije lansirane nakon 2024.
| Ime modela |
| PM640KA |
| PM670KA |
2.2 Modeli koji zahtevaju ažuriranje
Ako vaš model nije naveden iznad, to znači da uređaj trenutno koristi stariji sertifikat i da će morati da se ažurira.
Kako da preuzmem ažuriranje?
Za pogođene modele, ASUS je završio podnošenje novog sertifikata. Ažuriranje će automatski biti dostavljeno od strane Microsoft-a putem Windows Update.
Preporučena akcija: Idite na Podešavanja > Windows Update i uverite se da su automatska ažuriranja omogućena.
Automatska instalacija: Sistem će automatski preuzeti i instalirati najnoviji bezbednosni sertifikat—nije potrebno ručno korišćenje alata ili preuzimanje.
Sekcija 3. Microsoft sertifikati za bezbedno pokretanje treće strane: Funkcionalnost i neophodnost
Ova sekcija objašnjava Microsoft sertifikate treće strane za bezbedno pokretanje. Ako vaš uređaj treba da pokreće okruženja koja nisu Windows (npr. Linux) ili hardver treće strane (npr. eksterni GPU-ovi), molimo pregledajte sledeće.
3.1 Pregled Microsoft sertifikata treće strane
| Originalni sertifikat | Ažurirani sertifikat | Opis |
| Microsoft Corporation UEFI CA 2011 | Microsoft UEFI CA 2023 | Ovo je opciono uverenje koje se koristi „tokom procesa pokretanja” za potpisivanje aplikacija ili operativnih sistema trećih strana (kao što je Linux) koji se izvršavaju izvan Windows okruženja. Nije potrebno ako takvi slučajevi upotrebe nisu primenljivi. |
| Microsoft Option ROM UEFI CA 2023 | Ovo je opciono uverenje koje se koristi „tokom procesa pokretanja” za potpisivanje Option ROM-ova spoljne hardverske opreme. Ako hardver treće strane (kao što je eksterni GPU) nije neophodan tokom procesa pokretanja sistema, ovo uverenje je nije primenljivo. |
3.2 Ako su potrebni Microsoft sertifikati trećih strana, pogledajte sledeća uputstva
Napomena: Ako vaš komercijalni računar ima Windows BitLocker aktiviran, ljubazno ga pauzirajte unapred prema uputstvima ispod pre izvođenja bilo kakvih Secure Boot operacija.

Sekcija 4. Provera statusa BIOS sertifikata i određivanje ažuriranja
Uređaji isporučeni u 2026. godini već uključuju ove sertifikate. Možete ući u BIOS Setup (pritisnite F2 tokom pokretanja) kako biste proverili ili konfigurisali opcije sertifikata treće strane.

Dalje, možete se pozvati na Odeljak 8.3 kako biste proverili da li su sertifikati treće strane prisutni. Ako nisu uključeni, ažurirajte BIOS na najnoviju verziju i pratite Odeljak 5. SOP 1: Ažuriranje Secure Boot sertifikata.
Ako potrebni sertifikati treće strane i dalje nisu prikazani, nastavite sa Odeljak 6. SOP 2: Dodavanje Secure Boot sertifikata.
U slučaju da resetovanje Secure Boot ključeva dovede do pojave sledećeg ekrana prilikom pokretanja Windows-a, molimo pratite Odeljak 7. SOP 3: Vraćanje Secure Boot sertifikata.

Reference
- https://learn.microsoft.com/en-us/windows-hardware/manufacture/desktop/windows-secure-boot-key-creation-and-management-guidance?view=windows-11
- https://support.microsoft.com/en-us/topic/windows-secure-boot-certificate-expiration-and-ca-updates-7ff40d33-95dc-4c3c-8725-a9b95457578e
Odeljak 5. SOP 1: Ažuriranje Secure Boot sertifikata
Napomene pre operacije:
- Preporučuje se da unapred napravite rezervnu kopiju svih podataka na vašem računaru kako biste sprečili eventualni gubitak podataka tokom ručnog procesa ažuriranja.
- Ako je BitLocker uključen, obavezno ga stavite u pauzu pre nego što nastavite sa sledećim koracima. Nakon završetka procesa, BitLocker može ponovo biti uključen.
- Nedostatak pauziranja BitLocker-a može dovesti do scenarija zaključavanja. U slučajevima kada BitLocker ne može automatski otključati enkriptovani Windows disk, biće potreban ključ za oporavak. Ovaj ključ je numerički kod od 48 cifara koji vam omogućava da ponovo pristupite vašem hard disku. Ukoliko niste upoznati sa procedurama navedenim ispod, kontaktirajte nas za pomoć.
Ako treba da preuzmete svoj BitLocker ključ za oporavak, pogledajte članak: Kako da preuzmete svoj BitLocker Recovery Key.
Koraci postupka
- Uključite ili restartujte sistem, zatim pritisnite F2 da biste ušli u BIOS podešavanja.
Pritisnite F7 da pređete u Napredni režim, zatim idite na Bezbednost > Secure Boot (ili direktno Bezbednost > Secure Boot).
- Izaberite Upravljanje ključevima.

- Izaberite Ovlašćene potpise (db).

- Odaberite Ažuriranje.

- Izaberite Da.
Napomena: Izborom „Da” vraćate odgovarajuće sertifikate na fabrička podrazumevana podešavanja. Svi sertifikati koje je prethodno dodao sistem ili korisnik biće uklonjeni. - Izaberite Detalji da proverite da li su sertifikati Ovlašćenih potpisa (db) uspešno ažurirani.

- Pritisnite F10 da sačuvate i izađete.
- Ako je BitLocker prethodno bio suspendovan, molimo vas da se uverite da je ponovo omogućen.
Sekcija 6. SOP 2: Dodavanje Secure Boot sertifikata
6.1 Dodaj Microsoft UEFI CA 2023
- Preuzmite Microsoft UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239872, i sačuvajte ga u korenskom direktorijumu USB drajva (npr., "D:\microsoft uefi ca 2023.crt").
- Uključite ili restartujte sistem, zatim pritisnite F2 da uđete u BIOS podešavanja.
Pritisnite F7 za prelazak u Napredni režim, zatim idite na Security > Secure Boot (ili direktno Security > Secure Boot).
- Izaberite Key Management.

- Izaberite Ovlašćene potpise (db).

- Izaberite Dodaj.

- Izaberite Ne.

- Izaberite USB disk.

- Pronađite i izaberite fajl u glavnom direktorijumu: „microsoft uefi ca 2023.crt”.
- Izaberite Sertifikat javnog ključa, zatim pritisnite Enter na ekranu za potvrdu GUID-a.

- Izaberite Da.

- Proverite da li je Microsoft UEFI CA 2023 prikazan pod Ovlašćenim potpisima (db).

- Pritisnite F10 za čuvanje & izlaz.
- Ako je BitLocker prethodno bio obustavljen, molimo vas da se uverite da je ponovo omogućen.
6.2 Dodajte Microsoft Option ROM UEFI CA 2023
- Preuzmite Microsoft Option ROM UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2284009, i sačuvajte ga u korenskom direktorijumu USB drajva (npr., „D:\microsoft option rom uefi ca 2023.crt”).
- Uključite ili restartujte sistem, zatim pritisnite F2 da biste ušli u BIOS podešavanje.
Pritisnite F7 za prelazak u napredni režim, zatim idite na Bezbednost > Secure Boot (ili direktno Bezbednost > Secure Boot).
- Izaberite Upravljanje ključevima.

- Izaberite Ovlašćene potpise (db).

- Izaberite Dodaj.

- Izaberite broj.

- Izaberite USB uređaj.
- Pronađite i izaberite fajl koji je sačuvan u osnovnom direktorijumu: \„microsoft option rom uefi ca 2023.crt”.
- Izaberite Sertifikat javnog ključa, zatim pritisnite Enter na GUID ekranu za potvrdu.

- Izaberite Da.

- Proverite da li je Microsoft Option ROM UEFI CA 2023 sada prikazan pod Ovlašćenim potpisima (db).

- Pritisnite F10 za čuvanje i izlazak.
- Ako je BitLocker ranije bio suspendovan, molimo vas da se uverite da je ponovo omogućen.
Sekcija 7. SOP 3: Vraćanje Secure Boot sertifikata
- Preuzmite Windows UEFI CA 2023: https://go.microsoft.com/fwlink/?linkid=2239776 i sačuvajte ga u osnovnom direktorijumu USB uređaja (npr., \„D:\windows uefi ca 2023.crt”).
- Uključite ili restartujte sistem, zatim pritisnite F2 da biste ušli u BIOS podešavanja.
Pritisnite F7 da biste prešli u Napredni režim, zatim idite na Bezbednost > Secure Boot (ili direktno Bezbednost > Secure Boot).
- Izaberite Upravljanje ključevima.

- Izaberite Ovlašćene potpise (db).

- Izaberite Dodaj.

- Izaberite Ne.

- Izaberite USB disk.
- Pronađite i izaberite fajl koji je smešten u glavnom direktorijumu: „windows uefi ca 2023.crt”.
- Izaberite Sertifikat javnog ključa, zatim pritisnite Enter na GUID ekranu za potvrdu.

- Izaberite Da.

- Proverite da li je Windows UEFI CA 2023 sada naveden pod Ovlašćenim potpisima (db).

- Pritisnite F10 za čuvanje i izlaz.
- Ako je BitLocker omogućen, uverite se da imate svoj BitLocker ključ za oporavak pri ruci.
Sekcija 8. PowerShell metoda verifikacije sertifikata
Kako proveriti status ključa UEFI Secure Boot? Sledeće procedure ne utiču na status Windows BitLocker-a.
8.1 Pripremni koraci
Unesite PowerShell u Windows traku za pretragu.
Iz rezultata pretrage, kliknite desnim tasterom na Windows PowerShell i izaberite Pokreni kao administrator.

8.2 Provera Microsoft Windows Secure Boot sertifikata
- Potvrdite da Key Exchange Key (KEK) uključuje „Microsoft Corporation KEK 2K CA 2023”.
Izvrši: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
Rezultat True označava da je sertifikat „Microsoft Corporation KEK 2K CA 2023“ prisutan.
- Potvrdite da Signature Databases (DB) uključuje „Windows UEFI CA 2023“.
Izvrši: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Rezultat True označava da je sertifikat „Windows UEFI CA 2023“ prisutan.
8.3 Provera Microsoft Secure Boot sertifikata treće strane
- Potvrdite da Signature Databases (DB) uključuje „Microsoft UEFI CA 2023“.
Izvrši: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
Rezultat True označava da je sertifikat „Microsoft UEFI CA 2023“ prisutan.
- Potvrdite da Signature Databases (DB) uključuje „Microsoft Option ROM UEFI CA 2023“.
Izvršite: [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Microsoft Option ROM UEFI CA 2023'
Rezultat „True“ označava da je sertifikat „Microsoft Option ROM UEFI CA 2023“ prisutan.