Moin,
danke für eure Mühe, aber ich kann mit mein Problem leben. Ich warte bis Microsoft eine neue ISO raus bringt, wo das Zertifikat 2023 enthalten ist. Danach erstelle ich mir ein neues Rettungsmedium.
Trotzdem Danke, und bleibt gesund.
Gruß Grobi847

Dann kann es sein, dass das Tool zur Erstellung des AOMEI Recovery Sticks den neuen Bootamanger berücksichtig und diesen auch verwendet, wenn Secureboot aktiviert ist und das Zertifikat "Microsoft UEFI CA 2023" installiert ist. Ist das Tool noch nicht so weit angepasst worden, wird es auch weiterhin den alten Bootmanager verwenden und man wird Probleme bekommen, wenn das Zertifikat "Microsoft Windows Production PCA 2011" zurückgezogen wurde.

Und das wohl auch das Problem von Grobi847. Wenn man jetzt wüsste, welche Revision das WinPE in der Boot.wim hat, könnte man das eventuell leicht lösen.

Sind beide Zertifikate installiert und wurde das CA2011 nicht zurückgezogen, ist das egal. Beide Bootmanager wären dann noch gültig. Ist nur das CA2011 Zertifikat installiert, muss hier dann auch der alte Bootmanager verwendet werden. Der neue Bootmanager wäre nutzlos.

Aber wie gesagt, das Verhalten liegt an dem Tool, mit welchem man das Bootmedium erstellt.

Hab es doch mit dem AOMEI Recovery-Stick selbst erlebt. Der bootet jetzt auf meinem HP-ZBook auch mit Secure Boot. Das ist doch nur eine modifizierte WinRe.wim.

Aber auch wenn es für "Grobi847" gedacht war, wird das sein Problem mit dem Rettungsmedium nicht lösen. Außer das Tool, welches er zur Erstellung des Rettungsmediums verwendet, berücksichtig die Problematik.

Oh, sehe gerade: Das mit dem Rettungsmedium war ja "Grobi847" und nicht "Anime On"
Sorry for the confusion.

Sollte im Normalfall schon installiert sein, sofern die Recoverypartition groß genug ist.

Aber ich sehe da gerade nicht dem Zusammenhang.

Pentagon hat geschrieben: 01.02.2026, 15:40 Lade dir Im Update Katalog die windows11.0-kb5074111-x64.cab herunter.
Damit kommst du auf 10.0.26100.7701

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.

Danke werd ich ausprobieren

Lade dir Im Update Katalog die windows11.0-kb5074111-x64.cab herunter.
Damit kommst du auf 10.0.26100.7701

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.

DK2000 hat geschrieben: 01.02.2026, 15:36 Wenn Du die "Apply revocations.cmd" ausführst, dann wird das Zertifikat "Microsoft Windows Production PCA 2011" ungültig. Ist bei Dir auch der Fall. Hatte ich ganz übersehen, dass er das geschrieben hat. Das ist noch viel zu früh dafür, da noch nicht einmal Microsoft die eigenen ISOs daraufhin angepasst hat. Auch alle Anwendungen, welche ISOs/Sticks auf WinPE Basis erstellen, müssten darauf angepasst werden, so dass diese den Bootmanager mit dem CA2023 Zertifikat verwenden. Ansonsten booten die nicht mehr.

Und die beiden Zertifikate, die jetzt noch fehlen, da kann Du gerade nicht viel machen. Muss man abwarten.

OK Danke dir für die info

Wenn Du die "Apply revocations.cmd" ausführst, dann wird das Zertifikat "Microsoft Windows Production PCA 2011" ungültig. Ist bei Dir auch der Fall. Hatte ich ganz übersehen, dass er das geschrieben hat. Das ist noch viel zu früh dafür, da noch nicht einmal Microsoft die eigenen ISOs daraufhin angepasst hat. Auch alle Anwendungen, welche ISOs/Sticks auf WinPE Basis erstellen, müssten darauf angepasst werden, so dass diese den Bootmanager mit dem CA2023 Zertifikat verwenden. Ansonsten booten die nicht mehr.

Und die beiden Zertifikate, die jetzt noch fehlen, da kann Du gerade nicht viel machen. Muss man abwarten.

Hallo zusammen

Ich hab das gemacht was bezelbube geschrieben hatte mit apply
soweit so gut hier ein Bild
aber bei mir sind 2 sachen mit rotem x was muss ich da genau machen damit es so grün haken wird wie bei bezelbube

Danke im Voraus

Das Zertifikat ist bei Dir bereits ungültig:

Microsoft Windows Production PCA 2011 (revoked: True)

Dadurch kannst Du kein Medium mehr booten, welches dieses Zertifikat für den Bootmamager verwendet. Den müsstest Du jetzt manuell aktualisieren. Warum das Zertifikat bei Dir jetzt aber bereits für ungültig erklärt wurde, kann ich nicht sagen, außer Du hast das manuell gemacht. Automatisch ist das noch nicht seitens Microsofts vorgesehen. Oder kam das direkt von Dell mit einen UEFI Update?

Der Rest passt aber so weit.

Moin,
ich bräuchte mal eine Info, oder Hilfe von den Spezies.
Mein System:
Windows 11 Pro 25H2 26200.7705

Nach dem Update vom 31.1.26, sehe mein Zertifikate folgender maßen aus:

Checking for Administrator permission...
Running as administrator - continuing execution...

30 Januar 2026
Manufacturer: Dell Inc.
Model: OptiPlex 3070
BIOS: Dell Inc., 1.35.0, 1.35.0, DELL - 1072009
Windows version: 25H2 (Build 26200.7705)

Secure Boot status: Enabled

Current UEFI PK
√ Dell Inc. Platform Key

Default UEFI PK
√ Dell Inc. Platform Key

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key (revoked: False)
√ Dell Inc. Key Exchange Key (revoked: False) Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key (revoked: False)
√ Dell Inc. Key Exchange Key (revoked: False) Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key (revoked: False)
√ Dell Bios FW Aux Authority 2018 (revoked: False)

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key (revoked: False)
√ Dell Bios FW Aux Authority 2018 (revoked: False)

Current UEFI DBX
2025-10-14 (v1.6.0) : SUCCESS: 431 successes detected
Windows Bootmgr SVN : 7.0
Windows cdboot SVN : 3.0
Windows wdsmgfw SVN : 3.0

Checking for Administrator permission...
Running as administrator - continuing execution...

Windows version: 25H2 (Build 26200.7705)

UEFISecureBootEnabled : 1
AvailableUpdates : 0x4000
UEFICA2023Status : Updated
WindowsUEFICA2023Capable : Windows UEFI CA 2023 cert is in DB, system is starting from 2023 signed boot manager

bootmgfw version : 10.0.26100.30227 (WinBuild.160101.0800)
bootmgfw signature CA : Windows UEFI CA 2023
bootmgfw SVN : 7.0

bootmgr version : 10.0.26100.30227 (WinBuild.160101.0800)
bootmgr signature CA : Microsoft Windows Production PCA 2011
bootmgr SVN : 7.0

memtest version : 10.0.26100.1 (WinBuild.160101.0800)
memtest signature CA : Microsoft Windows Production PCA 2011

Warum ist die CA 2011 noch im Bootmanager, und die cdboot, und wdsmgfw SVN auf 3.0.
Da die SVN kleine 7.0 ist habe ich das Problem, dass ich nicht mehr vom Paragon
Rettungsmedium meinen Rechner starten kann.
Ich bekomme folgenden Fehler:
operating System loader signature found in secureboot exclusion database dbx.

Nun muß ich immer wenn ich meinen Rechner vom Rettungsmedium starten will, vorher ins BIOS und Secure Boot deaktivieren. Das ist nicht schlimm, aber es stört mich.

Habt ihr eine Rat für mich, oder muß ich nur warten bis die CA 2011 ungültig wird.
Gruß Grobi847

Ich habe jetzt das Backup der Startpartition gemountet und gesehen, dass das Image nicht WindowsUEFICA2023Capable war. Ich vermute, dass da nur noch eine Neuinstallation hilft, wenn ich den Rechner mit Secure Boot betreiben will.
Damit kann ich aber gut leben. Es gibt Schlimmeres.

WindowsUEFICA2023Capable=0x0

Secureboot deaktiviert oder aktiviert, aber “Windows UEFI CA 2023” nicht in der DB

Wenn Secureboot deaktiviert ist, kann die Variable nicht abgefragt werden, daher kommt das auf dasselbe raus. Windows kann hier nicht ermitteln, ob das “Windows UEFI CA 2023" installiert ist oder nicht.

WindowsUEFICA2023Capable=0x2

Secureboot ist aktiviert, "Windows UEFI CA 2023” ist vorhanden und es wird der passende Bootmanager mit dem CA 2023 Zertifikat verwendet.

Warum das jetzt bei Dir nach "Backup Recovery einspielen" nicht funktioniert, schwer zu sagen, vermute aber fast, falsche SVN. Der aktuelle Bootmanager benötigt wohl den Bootmanager mit SVN 7.0. SVN = Secure Version Number. Wenn die SVN niedriger ist als erwartet, wird das Zertifikat abgelehnt und Windows bootete nicht mehr.

Gehe aber bei der Überlegung davon aus, dass vor dem Erstellen des Backups WindowsUEFICA2023Capable=0x2 bereits vorhanden war.