Leidiges Thema Secure Boot Zertifikate [Hilfe]

von **moinmoin** » 08.06.2026, 18:04

Gut, Plutonium ist wieder ne Sache für sich. Aber ich vermute mal irrelevant für silverstar.

von **Gustavo** » 08.06.2026, 17:58

moinmoin, Microsoft Secure Boot ist eine Sache aber wer auf brandneuer Hardware auch noch einen aktiven Microsoft Pluton-Chip mit an Board hat bei dem ist beim beim Start ein aktives Trusted Platform Module (TPM) und aktives Microsoft Secure Boot schon zwingend voraussetzt. (Bei uns jedenfalls ist das auf allen brandneuen hp-Geräten schon so und in der UEFI DB ist CA 2011 und PCA 2011 gelöscht bzw. schon seit dem 30.05.26 überall von hp deaktiviert worden, mit dem Bios-Updates vom 30.05.26.) Eines der drei Sachen -oder alle abzuschalten ist hier auch nicht mehr möglich.

von **moinmoin** » 08.06.2026, 17:29

So ähnlich hattest du es hier schon.
viewtopic.php?t=34066&start=180#p457908
Gedanken machen muss man sich erst, wenn Microsoft Secure Boot beim Start schon zwingend voraussetzen würde. Das wird wohl aber nicht passieren. (Noch nicht).

von **silverstar** » 08.06.2026, 17:21

Moin,

ich habe auf dem PC SecureBoot deaktiviert.
Das Script von c't, zum auslesen der Gültigkeit zeigt an das die Key's bis 19.10.2026 gültig sind.

Da SecureBoot deaktiviert ist, muss ich mir auch nach dem 19.10.2026, insofern keine neuen Key's kommen, keine Gedanken bzgl. des Starten des PC's und nutzen Gedanken machen.
Sehe ich das richtig?

von **User555** » 08.06.2026, 15:31

bodu hat geschrieben: 05.06.2026, 18:24 In der Schlüsselverwaltung zeigt wohl nur die Schlüssel im NVRAM dar. Hier sollten sich die Schlüssel ändern lassen.
Bei Neugierde lässt sich das ausprobieren.
Bei den BIOS Bildern würde ich DBX löschen, DB löschen, KEK, löschen PK löschen,

Einen PK aus Datei festlegen oder beziehen. Mit Glück wird das *.der Dateiformat akzeptiert
https://github.com/microsoft/secureboot ... ertificate

Und die beiden KEK hinzufügen
https://github.com/microsoft/secureboot ... tificates/

PK und KEK aus der Github Quelle hinzufügen hat nicht geklappt, es kam eine Failed Meldung. War wohl das falsche Dateiformat.

von **Willi11** » 06.06.2026, 17:27

bodu hat geschrieben: 04.06.2026, 19:21
Willi11 hat geschrieben: 03.06.2026, 19:51hp Prob mit UEFI DB CA 2023 ?
Vorhanden sind KEK CA 2023, DB, CA 2023, DBX CA 2011 und SVN 8: Für single boot Windows 11 alles klar, keine Probleme

Aktualisiere zusätzlich eventuell vorhandene Bootmedien.

11 Bootmedien aktualisiert und AMI F.30 (Bios hp SSID 08B4E - Update sp173251) löste heute das Problem, thx bodu
siehe:
https://ibb.co/xq9VCDzG

von **bodu** » 05.06.2026, 18:24

User555 hat geschrieben: 05.06.2026, 12:10Im UEFI finde ich keine Option die Secure Boot Einträge zu löschen. Wahrscheinlich müsste ich erst die Standard Schlüssel installieren, danach gab es glaub die Möglichkeit sie zu löschen.

Die Standard Schlüssel sind Bestandteil vom BIOS, nicht änderbar. Bei einem BIOS Reset werden die Einträge in das NVRAM geladen, das sind die aktiven Schlüssel und können geändet werden.

In der Schlüsselverwaltung zeigt wohl nur die Schlüssel im NVRAM dar. Hier sollten sich die Schlüssel ändern lassen.
Bei Neugierde lässt sich das ausprobieren.
Bei den BIOS Bildern würde ich DBX löschen, DB löschen, KEK, löschen PK löschen,

Einen PK aus Datei festlegen oder beziehen. Mit Glück wird das *.der Dateiformat akzeptiert
https://github.com/microsoft/secureboot ... ertificate

Und die beiden KEK hinzufügen
https://github.com/microsoft/secureboot ... tificates/

Das UEFI liest wahrscheinlich nur FAT, probiere eine FAT32 formatierten USB Stick.

DB und DBX sollte dann über Windows Update hinzugefügt werden können.
Die DBX ist seit April etwas kleiner, etwa 250 Einträge.
Jedoch kann das wieder in korrupte NVRAM Einträge münden.

von **User555** » 05.06.2026, 12:10

DK2000 hat geschrieben: 04.06.2026, 21:15 Und wie sieht es nach Neustart aus? Bleibt es dabei?

Neustart hab ich mehrmals gemacht, ändert leider nichts.

bodu hat geschrieben: 05.06.2026, 06:54 Windows Update kann da nichts machen, da muss erst Gigabyte die Vorarbeit leisten.
Ein BIOS Update von Gigabyte ist angebracht, wird wahrscheinlich nicht kommen.

Ok Danke, dann werde ich abwarten und zur Not den Secure Boot deaktivieren.
Bei einem AsRock Z97 Extreme3 kommt das gleiche Verhalten mit dem Einfrieren, dann weiß ich auch da Bescheid.
Zwei Asus Boards (Z97-A und Z97I-Plus) haben die Secure Boot Updates automatisch im Hintergrund gemacht, da hatte ich wohl Glück.

bodu hat geschrieben: 05.06.2026, 06:54 Zusätzlich gibt es korrupte Tabellen im NVRAM.

Im UEFI wären die secure boot Einträge zu löschen und und im Secure Boot Setup Mode zu setzten. Danach die PK und KEK zu schreiben.

Diese korrupten Tabellen im NVRAM lassen sich mit den Standardeinstellungen im Speichern & Beenden Reiter wiederherstellen?

Im UEFI finde ich keine Option die Secure Boot Einträge zu löschen. Wahrscheinlich müsste ich erst die Standard Schlüssel installieren, danach gab es glaub die Möglichkeit sie zu löschen.

Es gibt noch den Menüpunkt Abbildausführungsrichtlinie, muss ich da was aktivieren?

260605112749.png

260605112835.png

260605112914.png

260605112823.png

260605115931.png

von **bodu** » 05.06.2026, 06:54

User555 hat geschrieben: 04.06.2026, 21:09Gigabyte Z97M-D3H mit i3-4130 / Win11 25H2 Build: 26200.8457

Kann ich als "Laie" da groß was machen oder muss ich auf ein zukünftiges Microsoft Sicherheits Update hoffen?

PK By OEM 'TestSub' zeigt einen Testschlüssel, dazu gibt es keinen signierten KEK CA 2023 Eintrag.
Windows Update kann da nichts machen, da muss erst Gigabyte die Vorarbeit leisten.
Ein BIOS Update von Gigabyte ist angebracht, wird wahrscheinlich nicht kommen.
Zusätzlich gibt es korrupte Tabellen im NVRAM.

Im UEFI wären die secure boot Einträge zu löschen und und im Secure Boot Setup Mode zu setzten. Danach die PK und KEK zu schreiben.
Auf einem Core I 4.Generation Rechner, BIOS von 2015, mit Windows 11 könnte man in dem Fall auch Secure Boot ausschalten.

von **DK2000** » 04.06.2026, 21:15

Und wie sieht es nach Neustart aus? Bleibt es dabei?

von **User555** » 04.06.2026, 21:09

Hallo,
habe auf einem älteren System (Gigabyte Z97M-D3H mit i3-4130 / Win11 25H2 Build: 26200.8457) ein Problem mit dem Secure Boot Update.
Sicherer Start ist aktiviert, laut Win Gerätesicherheit werden noch alte Zertifikate verwendet und sollen aktualisiert werden, aber es sind noch nicht genügend Daten vorhanden für ein automatisches Update.
Habe versucht mit den "Check-UEFISecureBootVariables" die Updates manuell anzustoßen, hat nur teilweise geklappt. Resultat siehe Screenshot CheckCA2023.
Problem ist jetzt, der Rechner friert immer nach ein paar Minuten ein und lässt sich nur mit Drücken des Power Button neu starten. Wenn ich die Aufgabe "\Microsoft\Windows\PI\Secure-Boot-Update" deaktiviere oder im Abgesicherten Modus starte gibt es kein Einfrieren.

Kann ich als "Laie" da groß was machen oder muss ich auf ein zukünftiges Microsoft Sicherheits Update hoffen?

Hier wird ein ähnliches Verhalten beschrieben, anderes System und Win10: https://community.medion.com/t5/Desktop ... d-p/187135
Die komplizierte Lösung dazu:
https://community.medion.com/t5/Betrieb ... m-p/187780

Screenshot 2026-06-04 104540.png

Screenshot 2026-06-04 104221.png

von **bodu** » 04.06.2026, 19:21

Willi11 hat geschrieben: 03.06.2026, 19:51hp Prob mit UEFI DB CA 2023 ?

Vorhanden sind KEK CA 2023, DB, CA 2023, DBX CA 2011 und SVN 8: Für single boot Windows 11 alles klar, keine Probleme

Aktualisiere zusätzlich eventuell vorhandene Bootmedien.

von **Willi11** » 03.06.2026, 19:51

bodu hat geschrieben: 15.05.2026, 21:27

bodu, hp Prob mit UEFI DB CA 2023 ?

https://ibb.co/99nY9Ks7

Lösung?

von **Anime On** » 27.05.2026, 17:02

DK2000 hat geschrieben: 27.05.2026, 13:19
Code: Alles auswählen
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x202 /f
Code: Alles auswählen
Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“
Neustart nicht vergessen.

Danach sollte die aktuelle DBX und DBX SVN passen. Der Rest passt ja schon soweit.

Hab vielen Dank heir ein Bild alles grün aber der 2te befehl hat nicht Funktioniert da kamm eine Fehlermeldung von NICHT erkannt hab den PC Trotzdem neugestartet u im Bild ist Alles Grün

Korrektur Habe den Befehl Start-ScheduledTask als Admin in CMD eingegeben gehabt hab jetzt mit Admin über Pshell eingegeben

von **DK2000** » 27.05.2026, 13:19

Code: Alles auswählen

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x202 /f

Code: Alles auswählen

Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“

Neustart nicht vergessen.

Danach sollte die aktuelle DBX und DBX SVN passen. Der Rest passt ja schon soweit.

Leidiges Thema Secure Boot Zertifikate [Hilfe]

Antwort erstellen

Ansicht erweitern Die letzten Beiträge des Themas: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]

Re: Leidiges Thema Secure Boot Zertifikate [Hilfe]