Hết hạn chứng chỉ Windows Secure Boot và cập nhật chứng chỉ

Kể từ khi Windows bắt đầu hỗ trợ Secure Boot, hầu hết các thiết bị Windows đã sử dụng một loạt chứng chỉ của Microsoft trong cơ sở dữ liệu UEFI Secure Boot. Những chứng chỉ trước đây này sẽ bắt đầu hết hạn dần từ năm 2026. Để duy trì bảo mật boot và tính toàn vẹn chuỗi tin cậy, hệ thống cần được cập nhật lên phiên bản chứng chỉ Microsoft năm 2023.

Nếu hệ thống của bạn hiện đang bật Secure Boot, hãy đảm bảo những chứng chỉ này được cập nhật trước khi chúng hết hạn vào giữa năm 2026.

 

Bạn cần làm gì?             
Bạn chỉ cần hoàn thành một trong các phương pháp cập nhật dưới đây và chờ đợi Windows Boot Manager mới:             
 

(Phương pháp I) Thông qua cập nhật tự động của Windows

Khi「Windows Update」được bật và hệ thống đã kích hoạt Secure Boot (vui lòng tham khảo cách bật Secure Boot), các thiết bị Windows được hỗ trợ sẽ tự động tải xuống và áp dụng chứng chỉ Secure Boot mới cùng Boot Manager mới vào thời điểm thích hợp.

Bản cập nhật cơ sở dữ liệu Secure Boot mới đã được triển khai theo từng giai đoạn cho các thiết bị có Secure Boot bật kể từ năm 2024 và sẽ tự động hoàn tất cập nhật cho thiết bị trước khi chứng chỉ hết hạn vào tháng 6 năm 2026.

Người dùng với thiết lập mặc định thường không cần thực hiện thao tác thủ công bổ sung.

[Cho phép Windows Update lấy chứng chỉ mới]           

 

 

 

(Phương pháp II) Cập nhật UEFI BIOS thủ công

Lưu ý: Sau khi cập nhật BIOS, bạn có thể được yêu cầu nhập khóa khôi phục BitLocker để mở khóa và truy cập hệ điều hành. Để biết các bước chi tiết, vui lòng tham khảo bài viết này: Cách tìm khóa BitLocker.
Bạn cũng có thể tắt Mã hóa thiết bị và Mã hóa BitLocker tiêu chuẩn trước khi cập nhật BIOS, và bật lại mã hóa sau khi cập nhật BIOS để bảo vệ an toàn dữ liệu của bạn. Để biết các bước chi tiết, vui lòng tham khảo bài viết này: Giới thiệu về Mã hóa thiết bị và Mã hóa BitLocker tiêu chuẩn.

Dành cho Mainboard    

Bạn cũng có thể tải về và cập nhật phiên bản mới nhất của UEFI BIOS từ trang web chính thức của ASUS để nhận các chứng chỉ Secure Boot đã được cập nhật.

Phương pháp này phù hợp hơn cho những người dùng nâng cao quen thuộc với quy trình cập nhật BIOS hoặc các hệ thống không thể nhận cập nhật bình thường thông qua Windows Update.

1. Để tải xuống và cập nhật lên phiên bản UEFI BIOS mới nhất từ trang web chính thức của ASUS, bạn có thể tham khảo: Cách cập nhật BIOS

2. Xóa các khóa Secure Boot           
2.1 Sau khi cập nhật BIOS và khởi động lại hệ thống, hãy vào lại BIOS Setup, đi đến Advanced\Boot > Secure Boot.

Nếu Secure Boot Mode là Standard, hãy chuyển sang Custom.

2.2 Nhấn vào Key Management.

2.3 Thực hiện "Clear Secure Boot Keys".

Chọn [Có].

2.4 Xác nhận rằng tất cả các khóa UEFI Secure Boot (PK, KEK, DB, DBX) đã được xóa thành công.

3. Cài đặt các Khóa Secure Boot mặc định           
3.1 Sau khi xóa các Khóa Secure Boot, hãy thực hiện "Cài đặt các Khóa Secure Boot mặc định."           

Nhấn [Có].

3.2 Kiểm tra rằng Kích thước/Số lượng Khóa cho PK/KEK/DB/DBX không phải là 0 và Nguồn Khóa là [Mặc định]. Quá trình cập nhật Khóa Secure Boot UEFI đã hoàn tất.

 

Hỏi & Đáp           
Câu hỏi 1: Làm thế nào để kiểm tra trạng thái Khóa Secure Boot UEFI?           
Trả lời: Vui lòng thực hiện theo các bước sau:           
1. Trên trang BIOS, vào Advanced\Boot > Secure Boot > Key Management.           
2. Chọn lần lượt các mục sau và sau đó chọn "Xóa khóa":           
➢ Quản lý KEK           
➢ Quản lý DB

3. Chọn "Không" trong cửa sổ nhắc nhở. (Lưu ý: Thao tác này chỉ để hiển thị thông tin Key; chọn "Có" sẽ xóa Key.)

4. Xác nhận rằng Quản lý KEK có chứa "Microsoft Corporation KEK 2K CA 2023".

5. Xác nhận rằng Quản lý DB có chứa cả "Microsoft UEFI CA 2023" và "Windows UEFI CA 2023".

Dành cho Notebook

Bạn cũng có thể tải xuống và cập nhật UEFI BIOS lên phiên bản mới nhất từ trang web chính thức của ASUS để nhận chứng chỉ Secure Boot đã được cập nhật.           
Phương pháp này phù hợp hơn cho người dùng nâng cao, những người am hiểu quy trình cập nhật UEFI BIOS.           
1. Tải xuống và cập nhật UEFI BIOS lên phiên bản mới nhất từ trang web chính thức của ASUS. Bạn có thể tham khảo: Cách cập nhật BIOS trong Windows.           
2. Đặt lại về Chế độ Thiết lập           
2.1 Sau khi cập nhật BIOS, hãy khởi động lại hệ thống và vào lại BIOS Setup. Vào Advanced\Boot > Secure Boot.           
2.2 Nhấp vào Quản lý khóa.

2.3 Thực hiện "Đặt lại về Chế độ Thiết lập".

2.4 Nhấn [Có].

 

 

2.5 Xác nhận rằng tất cả các khóa UEFI Secure Boot (PK, KEK, DB, DBX) đã được xóa thành công.

3. Khôi phục Khóa Gốc           
3.1 Thực hiện "Khôi phục Khóa Gốc".

          
3.2 Nhấn [Có].

3.3 Kiểm tra rằng Kích thước/Số lượng khóa cho PK/KEK/DB/DBX không phải là không.           
Quá trình cập nhật khóa UEFI Secure Boot Keys đã hoàn tất.

          
 

Hỏi & Đáp           
Câu hỏi 1: Làm thế nào để kiểm tra trạng thái của UEFI Secure Boot Keys?           
Trả lời: Vui lòng làm theo các bước sau:           
1. Trên trang BIOS, đi tới Advanced\Boot > Secure Boot > Key Management.           
2. Chọn từng mục sau đây và sau đó nhấn "Chi tiết":           
➢ Key Exchange Keys (KEK)           
➢ Authorized Signatures (db)

3. Xác nhận rằng Key Exchange Keys (KEK) bao gồm "Microsoft Corporation KEK 2K CA 2023".

4. Xác nhận rằng Authorized Signatures (db) bao gồm cả "Microsoft UEFI CA 2023" và "Windows UEFI CA 2023".

Đối với AIOT

Người dùng có thể tải về và cập nhật lên phiên bản UEFI BIOS mới nhất từ trang web chính thức của ASUS để nhận các chứng chỉ Secure Boot được cập nhật. Phương pháp này phù hợp hơn với những người dùng nâng cao quen thuộc với quy trình cập nhật BIOS, hoặc cho các hệ thống không thể nhận cập nhật đúng cách qua Windows Update.

Tải về và cập nhật lên phiên bản UEFI BIOS mới nhất từ trang web chính thức của ASUS AIoT. Để biết hướng dẫn, bạn có thể tham khảo: 
1. Tải về và cập nhật lên phiên bản UEFI BIOS mới nhất từ trang web chính thức của ASUS AIoT. Để biết hướng dẫn, bạn có thể tham khảo: Cách cập nhật BIOS 
2. Cài đặt Default Secure Boot Keys: 
2.1 Sau khi cập nhật BIOS, hãy khởi động lại hệ thống. Vào lại BIOS Setup utility và chuyển đến Security > Secure Boot.

2.2 Nếu Chế độ Secure Boot được thiết lập thành Tùy chỉnh, vui lòng chuyển sang Chuẩn.

2.3 Nhấn OK (để áp dụng "Cài đặt mặc định của nhà máy trong Quản lý khóa")

2.4 Nhấn Quản lý khóa nâng cao.

2.5 Xác minh rằng Kích thước/Số lượng khóa cho PK, KEK, DB, và DBX không phải là số 0.

 

Hỏi & Đáp           
Câu hỏi 1: Làm thế nào tôi có thể kiểm tra trạng thái các Khóa UEFI Secure Boot để xác nhận rằng các chứng chỉ Microsoft năm 2023 đã được cài đặt?           
Trả lời: Vui lòng làm theo các bước dưới đây:

1. Nếu Chế độ Secure Boot được thiết lập thành Chuẩn, hãy chuyển sang Tùy chỉnh.           

2. Nhấn OK.

3. Nhấn Quản lý khóa chuyên gia.

4. Chọn Khóa trao đổi khóa (KEK) > Chi tiết.

5. Xác nhận rằng Quản lý KEK bao gồm "Microsoft Corporation KEK 2K CA 2023".

6. Chọn Chữ ký được ủy quyền (db) > Chi tiết.

7. Xác nhận rằng Quản lý DB chứa tất cả các mục sau: "Windows UEFI CA 2023", "Microsoft UEFI CA 2023", và "Microsoft Option ROM UEFI CA 2023".