Leidiges Thema Secure Boot Zertifikate [Hilfe]

Antwort erstellen


Diese Frage dient dazu, das automatisierte Versenden von Formularen durch Spam-Bots zu verhindern.
Smileys
:) ;) :smile: :lol: :hihi: :D :rofl: :muahah: :( :pff: :kopfstreichel: :ohno: :betruebt: :heulen: :kopfkratz: :duckundweg: :o :? :oops: :psst: :sauer: :-P :daumenrunter: :daumen: :dankeschoen: :thx: :dafür: :gähn:
Mehr Smileys anzeigen
BBCode ist eingeschaltet
[img] ist eingeschaltet
[flash] ist ausgeschaltet
[url] ist eingeschaltet
Smileys sind eingeschaltet
Die letzten Beiträge des Themas

Ich habe die Datenschutzerklärung gelesen und bin damit einverstanden.

   

Ansicht erweitern Die letzten Beiträge des Themas: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 03.02.2026, 14:27

Ob es installiert ist, lässt sich am Screenshot nicht sagen. Aber gehe mal davon aus, dass es installiert ist und versucht wurde, dass Update in das laufende Windows zu installieren. Die WinRE.wim sollte Abbildversion 26100.7701 habe, 26100.7705 ist das installierte Windows. Was sagt denn folgendes:

Code: Alles auswählen

Dism /Get-ImageInfo /ImageFile:\\?\GLOBALROOT\device\harddisk0\partition3\Recovery\WindowsRE\winre.wim /index:1
\harddisk0\partition4\ musst Du ggf. an Deine Partitionierung anpassen. Standard ist Disk 0, Partition 4.

Aber wie gesagt, mit den Zertifikaten im UEFI hat das keinen Einfluss. Das wäre nur relevant, wenn ein Tool einen mittels der WinRE.wim einen bootfähigen Stick erstellt, erkennt, dass das neue Zertifikat vorhanden ist und daraufhin den neuen Bootmanager zur Erstellung des Sticks oder ISO verwendet.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Anime On » 03.02.2026, 14:23

moinmoin hat geschrieben: 03.02.2026, 14:09 Wurde mit Fehler abgebrochen. Dann ist es wie DK2000 geschrieben hat, wohl schon installiert mit dem letzten Update.
Ohh habs garnicht gesehen Danke für den hinweiß hmmm
heist jetzt für mich abwarten?

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 03.02.2026, 14:17

Ne, Du versuchts wohl das SaveOS Du in das laufende Windows zu integrieren. Dafür ist es nicht gedacht. Es ist ausschließlich für die WinRE.wim gedacht. Die offizielle Vorgehensweise bei aktivierter Recoveryumgebung (ist im Prinzi das, was auch Pentagon geschrieben hat:
)

Code: Alles auswählen

ReAgentC.exe /mountre /path c:\mount
Dism /Image:c:\mount /Add-Package /PackagePath:"<SSU>"
Dism /Image:c:\mount /Add-Package /PackagePath:"<SafeOS>"  
Dism /Image:c:\mount /CleanUp-Image /StartComponentCleanup /ResetBase
ReAgentC.exe /unmountre /path c:\mount /commit
c:\mount muss dabei vorher erstellt werden und kann danach wieder gelöscht werden. Schwierig ist nur, an das SSU ranzukommen, weil das im Paket für das SSU enthalten ist. Einzeln habe ich das nicht mehr gefunden. Müsst man also aus dem SSU extrahieren. Ob man es weglassen kann, ist immer schwer zu sagen, da das neue Update u.U. auch das neue SSU benötigt, damit es richtig integriert wird. Über Windows Update sollte das alles automatisch geschehen, sofern die Recoverypartition groß genug ist.

Aber wie auch immer, das neue WinRE.wim würde das Problem mit dem bootbaren Stick nicht in jedem Fall lösen.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von moinmoin » 03.02.2026, 14:09

Wurde mit Fehler abgebrochen. Dann ist es wie DK2000 geschrieben hat, wohl schon installiert mit dem letzten Update.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Anime On » 03.02.2026, 14:06

Pentagon hat geschrieben: 01.02.2026, 15:40 Lade dir Im Update Katalog die windows11.0-kb5074111-x64.cab herunter.
Damit kommst du auf 10.0.26100.7701

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.
Hallo
habs jetzt glaube ich hinbekommen siehe bitte das Bild

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Grobi847 » 02.02.2026, 20:01

Moin,
danke für eure Mühe, aber ich kann mit mein Problem leben. Ich warte bis Microsoft eine neue ISO raus bringt, wo das Zertifikat 2023 enthalten ist. Danach erstelle ich mir ein neues Rettungsmedium.
Trotzdem Danke, und bleibt gesund.
Gruß Grobi847

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 02.02.2026, 17:08

Dann kann es sein, dass das Tool zur Erstellung des AOMEI Recovery Sticks den neuen Bootamanger berücksichtig und diesen auch verwendet, wenn Secureboot aktiviert ist und das Zertifikat "Microsoft UEFI CA 2023" installiert ist. Ist das Tool noch nicht so weit angepasst worden, wird es auch weiterhin den alten Bootmanager verwenden und man wird Probleme bekommen, wenn das Zertifikat "Microsoft Windows Production PCA 2011" zurückgezogen wurde.

Und das wohl auch das Problem von Grobi847. Wenn man jetzt wüsste, welche Revision das WinPE in der Boot.wim hat, könnte man das eventuell leicht lösen.

Sind beide Zertifikate installiert und wurde das CA2011 nicht zurückgezogen, ist das egal. Beide Bootmanager wären dann noch gültig. Ist nur das CA2011 Zertifikat installiert, muss hier dann auch der alte Bootmanager verwendet werden. Der neue Bootmanager wäre nutzlos.

Aber wie gesagt, das Verhalten liegt an dem Tool, mit welchem man das Bootmedium erstellt.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Pentagon » 02.02.2026, 16:53

Hab es doch mit dem AOMEI Recovery-Stick selbst erlebt. Der bootet jetzt auf meinem HP-ZBook auch mit Secure Boot. Das ist doch nur eine modifizierte WinRe.wim.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 02.02.2026, 16:26

Aber auch wenn es für "Grobi847" gedacht war, wird das sein Problem mit dem Rettungsmedium nicht lösen. Außer das Tool, welches er zur Erstellung des Rettungsmediums verwendet, berücksichtig die Problematik.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Pentagon » 02.02.2026, 16:14

Oh, sehe gerade: Das mit dem Rettungsmedium war ja "Grobi847" und nicht "Anime On"
Sorry for the confusion.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 02.02.2026, 15:39

Sollte im Normalfall schon installiert sein, sofern die Recoverypartition groß genug ist.

Aber ich sehe da gerade nicht dem Zusammenhang.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Anime On » 02.02.2026, 15:21

Pentagon hat geschrieben: 01.02.2026, 15:40 Lade dir Im Update Katalog die windows11.0-kb5074111-x64.cab herunter.
Damit kommst du auf 10.0.26100.7701

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.
Danke werd ich ausprobieren

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Pentagon » 01.02.2026, 15:40

Lade dir Im Update Katalog die windows11.0-kb5074111-x64.cab herunter.
Damit kommst du auf 10.0.26100.7701

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von Anime On » 01.02.2026, 15:39

DK2000 hat geschrieben: 01.02.2026, 15:36 Wenn Du die "Apply revocations.cmd" ausführst, dann wird das Zertifikat "Microsoft Windows Production PCA 2011" ungültig. Ist bei Dir auch der Fall. Hatte ich ganz übersehen, dass er das geschrieben hat. Das ist noch viel zu früh dafür, da noch nicht einmal Microsoft die eigenen ISOs daraufhin angepasst hat. Auch alle Anwendungen, welche ISOs/Sticks auf WinPE Basis erstellen, müssten darauf angepasst werden, so dass diese den Bootmanager mit dem CA2023 Zertifikat verwenden. Ansonsten booten die nicht mehr.

Und die beiden Zertifikate, die jetzt noch fehlen, da kann Du gerade nicht viel machen. Muss man abwarten.
OK Danke dir für die info

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

von DK2000 » 01.02.2026, 15:36

Wenn Du die "Apply revocations.cmd" ausführst, dann wird das Zertifikat "Microsoft Windows Production PCA 2011" ungültig. Ist bei Dir auch der Fall. Hatte ich ganz übersehen, dass er das geschrieben hat. Das ist noch viel zu früh dafür, da noch nicht einmal Microsoft die eigenen ISOs daraufhin angepasst hat. Auch alle Anwendungen, welche ISOs/Sticks auf WinPE Basis erstellen, müssten darauf angepasst werden, so dass diese den Bootmanager mit dem CA2023 Zertifikat verwenden. Ansonsten booten die nicht mehr.

Und die beiden Zertifikate, die jetzt noch fehlen, da kann Du gerade nicht viel machen. Muss man abwarten.

Nach oben