Leidiges Thema Secure Boot Zertifikate [Hilfe]

[Grobi847]

Moin,
ich bräuchte mal eine Info, oder Hilfe von den Spezies.
Mein System:
Windows 11 Pro 25H2 26200.7705

Nach dem Update vom 31.1.26, sehe mein Zertifikate folgender maßen aus:

Checking for Administrator permission...
Running as administrator - continuing execution...

30 Januar 2026
Manufacturer: Dell Inc.
Model: OptiPlex 3070
BIOS: Dell Inc., 1.35.0, 1.35.0, DELL - 1072009
Windows version: 25H2 (Build 26200.7705)

Secure Boot status: Enabled

Current UEFI PK
√ Dell Inc. Platform Key

Default UEFI PK
√ Dell Inc. Platform Key

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key (revoked: False)
√ Dell Inc. Key Exchange Key (revoked: False) Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
√ Dell Inc. Key Exchange Key (revoked: False)
√ Dell Inc. Key Exchange Key (revoked: False) Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key (revoked: False)
√ Dell Bios FW Aux Authority 2018 (revoked: False)

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ Dell Bios DB Key (revoked: False)
√ Dell Bios FW Aux Authority 2018 (revoked: False)

Current UEFI DBX
2025-10-14 (v1.6.0) : SUCCESS: 431 successes detected
Windows Bootmgr SVN : 7.0
Windows cdboot SVN : 3.0
Windows wdsmgfw SVN : 3.0

Checking for Administrator permission...
Running as administrator - continuing execution...

Windows version: 25H2 (Build 26200.7705)

UEFISecureBootEnabled : 1
AvailableUpdates : 0x4000
UEFICA2023Status : Updated
WindowsUEFICA2023Capable : Windows UEFI CA 2023 cert is in DB, system is starting from 2023 signed boot manager

bootmgfw version : 10.0.26100.30227 (WinBuild.160101.0800)
bootmgfw signature CA : Windows UEFI CA 2023
bootmgfw SVN : 7.0

bootmgr version : 10.0.26100.30227 (WinBuild.160101.0800)
bootmgr signature CA : Microsoft Windows Production PCA 2011
bootmgr SVN : 7.0

memtest version : 10.0.26100.1 (WinBuild.160101.0800)
memtest signature CA : Microsoft Windows Production PCA 2011

Warum ist die CA 2011 noch im Bootmanager, und die cdboot, und wdsmgfw SVN auf 3.0.
Da die SVN kleine 7.0 ist habe ich das Problem, dass ich nicht mehr vom Paragon
Rettungsmedium meinen Rechner starten kann.
Ich bekomme folgenden Fehler:
operating System loader signature found in secureboot exclusion database dbx.

Nun muß ich immer wenn ich meinen Rechner vom Rettungsmedium starten will, vorher ins BIOS und Secure Boot deaktivieren. Das ist nicht schlimm, aber es stört mich.

Habt ihr eine Rat für mich, oder muß ich nur warten bis die CA 2011 ungültig wird.
Gruß Grobi847

[Tante Google]

[DK2000]

Das Zertifikat ist bei Dir bereits ungültig:

Microsoft Windows Production PCA 2011 (revoked: True)

Dadurch kannst Du kein Medium mehr booten, welches dieses Zertifikat für den Bootmamager verwendet. Den müsstest Du jetzt manuell aktualisieren. Warum das Zertifikat bei Dir jetzt aber bereits für ungültig erklärt wurde, kann ich nicht sagen, außer Du hast das manuell gemacht. Automatisch ist das noch nicht seitens Microsofts vorgesehen. Oder kam das direkt von Dell mit einen UEFI Update?

Der Rest passt aber so weit.

[Anime On]

Hallo zusammen

Ich hab das gemacht was bezelbube geschrieben hatte mit apply
soweit so gut hier ein Bild
aber bei mir sind 2 sachen mit rotem x was muss ich da genau machen damit es so grün haken wird wie bei bezelbube

Danke im Voraus

[DK2000]

Wenn Du die "Apply revocations.cmd" ausführst, dann wird das Zertifikat "Microsoft Windows Production PCA 2011" ungültig. Ist bei Dir auch der Fall. Hatte ich ganz übersehen, dass er das geschrieben hat. Das ist noch viel zu früh dafür, da noch nicht einmal Microsoft die eigenen ISOs daraufhin angepasst hat. Auch alle Anwendungen, welche ISOs/Sticks auf WinPE Basis erstellen, müssten darauf angepasst werden, so dass diese den Bootmanager mit dem CA2023 Zertifikat verwenden. Ansonsten booten die nicht mehr.

Und die beiden Zertifikate, die jetzt noch fehlen, da kann Du gerade nicht viel machen. Muss man abwarten.

[Anime On]

Wenn Du die "Apply revocations.cmd" ausführst, dann wird das Zertifikat "Microsoft Windows Production PCA 2011" ungültig. Ist bei Dir auch der Fall. Hatte ich ganz übersehen, dass er das geschrieben hat. Das ist noch viel zu früh dafür, da noch nicht einmal Microsoft die eigenen ISOs daraufhin angepasst hat. Auch alle Anwendungen, welche ISOs/Sticks auf WinPE Basis erstellen, müssten darauf angepasst werden, so dass diese den Bootmanager mit dem CA2023 Zertifikat verwenden. Ansonsten booten die nicht mehr.

Und die beiden Zertifikate, die jetzt noch fehlen, da kann Du gerade nicht viel machen. Muss man abwarten.

OK Danke dir für die info

[Pentagon]

Lade dir Im Update Katalog die windows11.0-kb5074111-x64.cab herunter.
Damit kommst du auf 10.0.26100.7701

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.

[Anime On]

Lade dir Im Update Katalog die windows11.0-kb5074111-x64.cab herunter.
Damit kommst du auf 10.0.26100.7701

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.

Danke werd ich ausprobieren

[DK2000]

Sollte im Normalfall schon installiert sein, sofern die Recoverypartition groß genug ist.

Aber ich sehe da gerade nicht dem Zusammenhang.

[Pentagon]

Oh, sehe gerade: Das mit dem Rettungsmedium war ja "Grobi847" und nicht "Anime On"
Sorry for the confusion.

[DK2000]

Aber auch wenn es für "Grobi847" gedacht war, wird das sein Problem mit dem Rettungsmedium nicht lösen. Außer das Tool, welches er zur Erstellung des Rettungsmediums verwendet, berücksichtig die Problematik.

[Pentagon]

Hab es doch mit dem AOMEI Recovery-Stick selbst erlebt. Der bootet jetzt auf meinem HP-ZBook auch mit Secure Boot. Das ist doch nur eine modifizierte WinRe.wim.

[DK2000]

Dann kann es sein, dass das Tool zur Erstellung des AOMEI Recovery Sticks den neuen Bootamanger berücksichtig und diesen auch verwendet, wenn Secureboot aktiviert ist und das Zertifikat "Microsoft UEFI CA 2023" installiert ist. Ist das Tool noch nicht so weit angepasst worden, wird es auch weiterhin den alten Bootmanager verwenden und man wird Probleme bekommen, wenn das Zertifikat "Microsoft Windows Production PCA 2011" zurückgezogen wurde.

Und das wohl auch das Problem von Grobi847. Wenn man jetzt wüsste, welche Revision das WinPE in der Boot.wim hat, könnte man das eventuell leicht lösen.

Sind beide Zertifikate installiert und wurde das CA2011 nicht zurückgezogen, ist das egal. Beide Bootmanager wären dann noch gültig. Ist nur das CA2011 Zertifikat installiert, muss hier dann auch der alte Bootmanager verwendet werden. Der neue Bootmanager wäre nutzlos.

Aber wie gesagt, das Verhalten liegt an dem Tool, mit welchem man das Bootmedium erstellt.

[Grobi847]

Moin,
danke für eure Mühe, aber ich kann mit mein Problem leben. Ich warte bis Microsoft eine neue ISO raus bringt, wo das Zertifikat 2023 enthalten ist. Danach erstelle ich mir ein neues Rettungsmedium.
Trotzdem Danke, und bleibt gesund.
Gruß Grobi847

[Anime On]

Lade dir Im Update Katalog die windows11.0-kb5074111-x64.cab herunter.
Damit kommst du auf 10.0.26100.7701

ReAgentC.exe /MountRE /path C:\mount
DISM /image:C:\mount /Add-Package /Packagepath:E:\UPDATE\Update_24H2\windows11.0-kb5074111-x64.cab
ReAgentC.exe /UnmountRE /path C:\mount /commit

In der 2. Zeile deinen Packagepath anpassen.

Hallo
habs jetzt glaube ich hinbekommen siehe bitte das Bild

[moinmoin]

Wurde mit Fehler abgebrochen. Dann ist es wie DK2000 geschrieben hat, wohl schon installiert mit dem letzten Update.