Windows Secure Boot vypršení platnosti certifikátu a aktualizace certifikátů

Od doby, kdy Windows začal podporovat Secure Boot, většina zařízení s Windows používala sadu certifikátů Microsoft v databázi UEFI Secure Boot. Tyto starší certifikáty začnou postupně expirovat od roku 2026. Pro zachování bezpečnosti bootování a integrity řetězce důvěry je nutné aktualizovat systémy na verzi certifikátů Microsoft z roku 2023.

Pokud má váš systém aktuálně povolený Secure Boot, ujistěte se, že jsou tyto certifikáty aktualizovány dříve, než vyprší jejich platnost v polovině roku 2026.

 

Co musíte udělat?           
Stačí dokončit jednu z následujících metod aktualizace a počkat na nový Windows Boot Manager:           
 

(Metoda I) Přes Windows Automatickou aktualizaci

Pokud je povolena „Windows Update“ a systém má aktivovaný Secure Boot (prosím viz. jak povolit Secure Boot), podporovaná zařízení s Windows automaticky stáhnou a použijí nové certifikáty Secure Boot a nový Boot Manager ve vhodný čas.

Nová aktualizace databáze Secure Boot je postupně zaváděna na zařízení s povoleným Secure Boot od roku 2024 a automaticky dokončí aktualizaci zařízení před vypršením platnosti certifikátu v červnu 2026.

Uživatelé s výchozím nastavením obvykle nemusí provádět žádné další manuální kroky.

[Povolit služby Windows Update pro získání nových certifikátů]           

 

 

 

(Metoda II) Ruční aktualizace UEFI BIOS

Poznámka: Po aktualizaci BIOS může být vyžadováno zadání obnovovacího klíče BitLocker pro odemčení a přístup k operačnímu systému. Podrobný postup naleznete v tomto článku: Jak najít klíč BitLocker.
Před aktualizací BIOS můžete také vypnout Šifrování zařízení a Standardní šifrování BitLocker, a po aktualizaci BIOS znovu šifrování zapnout pro ochranu bezpečnosti vašich dat. Podrobný postup naleznete v tomto článku: Úvod do šifrování zařízení a standardního šifrování BitLocker.

Pro základní desku    

Nejnovější verzi UEFI BIOS můžete také stáhnout a aktualizovat z oficiálních stránek ASUS a získat tak aktuální certifikáty Secure Boot.

Tato metoda je vhodnější pro pokročilé uživatele, kteří jsou obeznámeni s procesem aktualizace BIOS, nebo pro systémy, které nemohou obdržet aktualizace běžně prostřednictvím Windows Update.

1. Pro stažení a aktualizaci na nejnovější verzi UEFI BIOS z oficiálních stránek ASUS můžete postupovat podle: Jak aktualizovat BIOS

2. Vymazání Secure Boot Keys           
2.1 Po aktualizaci BIOS a restartování systému znovu vstupte do nastavení BIOS, přejděte do Advanced\Boot > Secure Boot.

Pokud je Secure Boot Mode nastaven na Standard, změňte jej na Custom.

2.2 Klikněte na Key Management.

2.3 Proveďte "Clear Secure Boot Keys".

Klikněte na [Ano].

2.4 Potvrďte, že všechny UEFI Secure Boot klíče (PK, KEK, DB, DBX) byly úspěšně vymazány.

3. Instalace výchozích klíčů Secure Boot           
3.1 Po vymazání klíčů Secure Boot spusťte „Instalovat výchozí klíče Secure Boot.“           

Klikněte na [Ano].

3.2 Zkontrolujte, že Velikost/Počet klíčů pro PK/KEK/DB/DBX není 0 a Zdroj klíče je [Výchozí]. Proces aktualizace UEFI Secure Boot klíčů je tímto dokončen.

 

Otázky a odpovědi           
Otázka 1: Jak zkontrolovat stav UEFI Secure Boot klíčů?           
Odpověď: Postupujte podle těchto kroků:           
1. Na stránce BIOS přejděte na Rozšířené\Boot > Secure Boot > Správa klíčů.           
2. Vyberte postupně následující položky a poté zvolte „Smazat klíče“:           
➢ Správa KEK           
➢ Správa DB

3. Vyberte "Ne" v zobrazeném okně. (Poznámka: Tato operace slouží pouze k zobrazení informací o Klíči; výběrem "Ano" dojde ke smazání Klíče.)

4. Ověřte, že KEK Management obsahuje "Microsoft Corporation KEK 2K CA 2023".

5. Ověřte, že DB Management obsahuje jak "Microsoft UEFI CA 2023", tak "Windows UEFI CA 2023".

Pro notebook

Můžete si také stáhnout a aktualizovat UEFI BIOS na nejnovější verzi z oficiálních stránek ASUS, abyste získali aktualizované certifikáty Secure Boot.           
Tato metoda je vhodnější pro pokročilé uživatele, kteří jsou obeznámeni s procesem aktualizace UEFI BIOS.           
1. Stáhněte a aktualizujte UEFI BIOS na nejnovější verzi z oficiálních stránek ASUS. Můžete se podívat na: Jak aktualizovat BIOS ve Windows.           
2. Obnovení do režimu nastavení           
2.1 Po aktualizaci BIOS restartujte systém a znovu vstupte do nastavení BIOS. Přejděte na Advanced\Boot > Secure Boot.           
2.2 Klikněte na Správa klíčů.

2.3 Proveďte "Obnovení do režimu nastavení".

2.4 Klikněte na [Ano].

 

 

2.5 Ověřte, že všechny UEFI Secure Boot klíče (PK, KEK, DB, DBX) byly úspěšně vymazány.

3. Obnovení továrních klíčů           
3.1 Proveďte "Obnovení továrních klíčů".

          
3.2 Klikněte na [Ano].

3.3 Zkontrolujte, že Velikost/Počet klíčů pro PK/KEK/DB/DBX není nula.           
Proces aktualizace UEFI Secure Boot Keys je nyní dokončen.

          
 

Otázky a odpovědi           
Otázka 1: Jak mohu zkontrolovat stav UEFI Secure Boot Keys?           
Odpověď: Postupujte podle těchto kroků:           
1. Na stránce BIOS přejděte do Advanced\Boot > Secure Boot > Key Management.           
2. Vyberte každou z následujících položek a poté klikněte na „Podrobnosti“:           
➢ Key Exchange Keys (KEK)           
➢ Authorized Signatures (db)

3. Potvrďte, že Key Exchange Keys (KEK) zahrnuje „Microsoft Corporation KEK 2K CA 2023“.

4. Potvrďte, že Authorized Signatures (db) zahrnuje jak „Microsoft UEFI CA 2023“, tak „Windows UEFI CA 2023“.

Pro AIOT

Uživatelé mohou stáhnout a aktualizovat na nejnovější verzi UEFI BIOS z oficiálních stránek ASUS a získat tak aktualizované certifikáty Secure Boot. Tato metoda je vhodnější pro pokročilé uživatele, kteří se orientují v procesu aktualizace BIOS, nebo pro systémy, které nemohou správně přijímat aktualizace prostřednictvím Windows Update.

Stáhněte a aktualizujte na nejnovější verzi UEFI BIOS z oficiálních stránek ASUS AIoT. Pro pokyny můžete nahlédnout na:            
1. Stáhněte a aktualizujte na nejnovější verzi UEFI BIOS z oficiálních stránek ASUS AIoT. Pro pokyny můžete nahlédnout na: Jak aktualizovat BIOS           
2. Nainstalujte výchozí Secure Boot klíče:           
2.1 Po aktualizaci BIOS restartujte systém. Znovu vstupte do BIOS Setup utility a přejděte na Security > Secure Boot.

2.2 Pokud je režim Secure Boot nastaven na Vlastní, změňte jej na Standardní.

2.3 Klikněte na OK (pro použití "Instalovat tovární výchozí v Key Management")

2.4 Klikněte na Expert Key Management.

2.5 Ověřte, že Velikost/Počet klíčů pro PK, KEK, DB a DBX není nula.

 

Otázky a odpovědi           
Otázka 1: Jak mohu zkontrolovat stav UEFI Secure Boot klíčů, abych potvrdil, že byly nainstalovány certifikáty Microsoft z roku 2023?           
Odpověď: Postupujte podle následujících kroků:

1. Pokud je Secure Boot Mode nastavený na Standardní, změňte jej na Vlastní.           

2. Klikněte na OK.

3. Klikněte na Správa klíčů pro experty.

4. Vyberte Key Exchange Key (KEK) > Podrobnosti.

5. Ověřte, že Správa KEK obsahuje „Microsoft Corporation KEK 2K CA 2023“.

6. Vyberte Oprávněné podpisy (db) > Podrobnosti.

7. Ověřte, že Správa DB obsahuje všechny následující: „Windows UEFI CA 2023“, „Microsoft UEFI CA 2023“ a „Microsoft Option ROM UEFI CA 2023“.