Windows Secure Boot-Zertifikate

[Grobi847]

@oli88
Keine Angst. Wenn das mit dem UEFI Update bei dir nicht klappt, mußt du im BIOS einfach das SecureBoot deaktivieren, und gut Ist.
Dann kannst du den PC weiter benutzen.

[Tante Google]

[Moddiator]

Deaktivieren sollte aber wirklich die letzte Maßmahme sein, weil sicherer Start heißt nicht umsonst so, Es soll aber Geräte geben, die ohne BIOS-Update nicht auskommen und wenn der Hersteller keines anbietet, bleibt tatsächlich nur abschalten. Sonst bleibt der Bildschirm einfach nur schwarz...

[tomcat66]

Windows kann in deinem Fall keine Zertifikate aus dem UEFI auslesen und diese auch nicht erneuern. Prüfe, ob Secure Boot im UEFI aktiviert ist!
Wenn das der Fall ist und du ein einigermaßen aktuelles Mainboard (also nicht 10 Jahre alt, oder so) besitzt, könnte ein UEFI Update Abhilfe schaffen.

[oli88]

... Secure Boot ist bei PC und Notebook aktiviert.
Der PC ist 12 Jahre, das Notebook 9 Jahre alt. Habe ich da noch irgendeine Chance?

[tomcat66]

Puh, eher nicht. Aber du musst ja Secure Boot nicht nutzen. Windows funktioniert auch ohne Secure Boot. Und auch die Zertifikate sind nur dann nötig, wenn Secure Boot aktiviert ist. Also einfach aus lassen.

[Moddiator]

Ich würde erstmal schauen, ob Windows da vllt doch noch was hinbekommt. Auf SB zu verzichten sollte wirklich das letzte Mittel sein.....

[Huetteldorfer]

Eventuell hilft es einigen, die Zertifikate direkt von Microsoft sich zu holen, downloaden und zu installieren!?
https://learn.microsoft.com/de-de/windo ... db-and-dbx Ich habe mir alle geholt, installiert, danach die einzelnen Scripte von GitHub "Check-UEFISecureBootVariables-main" als Administrator starten. Ich hatte halt das Glück, dass ich noch ein BIOS Update meines Mainboard Herstellers bekommen habe. Es muss aber jeder selber entscheiden/wissen, ob er jetzt schon ein Zertifikat auf revoked setzen mag. Starte ich das GitHub Script "Check UEFI PK, KEK, DB and DBX.cmd" zur Überprüfung, sieht das bei mir so aus:

Checking for Administrator permission...
Running as administrator - continuing execution...
22 März 2026 Manufacturer: ASRock Model: B650E PG Riptide WiFi BIOS: American Megatrends International, LLC., 4.10, 4.10, ALASKA - 1 Windows version: 25H2 (Build 26200.8039)

Detected x64 UEFI architecture. Ensure that this is correct for valid DBX results.

Secure Boot status: Enabled

Current UEFI PK
√ ASRock Inc.

Default UEFI PK
√ ASRock Inc.

Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)

Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: True)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)

Current UEFI DBX
2025-10-14 (v1.6.0) [x64] : SUCCESS: 431 successes detected
Windows Bootmgr SVN : 7.0
Windows cdboot SVN : 3.0
Windows wdsmgfw SVN : 3.0

Es ist also schon ein 2011er zurückgezogen, das "Microsoft Windows Production PCA 2011", in Current und Default UEFI DB

[Espresso]

Wie hast du die heruntergeladenen Zertifikate installiert?

[Huetteldorfer]

Mit rechter Maustaste, im Kontextmenü dann auf zertifikat installieren. Und Lokalen Computer auswählen. Zertifikatsspeicher automatisch auswählen.

[DK2000]

Das sind dann aber andere Zertifikate, welche so installiert werden. Die SecureBoot Zertifikate (.bin Dateien) werden automatisch von Windows in das UEFI eingespielt, sofern es keinen Block gibt. Man kann das zwar manuell über den Eintrag in der Registry anstoßen, aber wenn es einen Block gibt, klappt das nicht. Wirklich manuell kann man die Zertifikate nur installieren, wenn das UEFI-Setup die Möglichkeit bietet, die .bin Dateien zu laden und in der passenden Variable zu hinterlegen. Ansonsten kommen die auch mit einem UEFI-Update vom Geräte-/Boardhersteller.

Bei Dir ist ja alles soweit installiert und sogar schon das CA2011 zurückgezogen. Letzteres sollte noch nicht geschehen, außer Du hast das passende Skript ausgeführt und Windows angewiesen, das CA2011 in BDX einzutragen. Ist aber derzeit noch nicht zu empfehlen.

[Huetteldorfer]

Ob es notwendig war, diese Zertifikate von hier https://learn.microsoft.com/de-de/windo ... db-and-dbx zu installieren, weiß ich nicht. Ich habe es getan, dann die Scripte von GitHub einzeln ausgeführt. In der Aufgabenplanung das installieren und neubooten angestoßen. Dann noch mein AsRock mainboard BIOS von Version 3.40 auf 4.10 aktualisiert. Mit dem einen schon zurückgezogenen Zertifikat muss ich halt jetzt entweder bis Juni, oder sogar bis Okt. 2026 mein System gesund erhalten, eben weil ich vermutlich von keinem Stick oder einer DVD ein Reperatur-Inplace Upgrade machen kann, weil der Bootloader es nicht mehr zulassen würde. Ob es mit deaktiviertem Secure Boot ginge, wäre interessant. Aber ich hoffe eh, dass ich es nicht brauchen werde.

[DK2000]

Die dortigen Zertifikate sind in für das UEFI gedacht, nicht für Windows. Diese werden in den entsprechenden UEFI-Variablen eingetragen, z.B. "windows uefi ca 2023.crt" in die Variable DB. Die Zertifikate kann z.B. ein OEM dazu verwenden, diese in die Defaults einzutragen. Wenn das UEFI-Setup eine solche Möglichkeit bietet, kann man diese Zertifikate auch manuell in die Currents eintragen.

Die Aufgabenplanung verwendet die Zertifikate im .bin Format aus "C:\Windows\System32\SecureBootUpdates". Ob hier auch Zertifikate im .crt Format angenommen werden, weiß ich gerade nicht.

Wenn SecureBoot deaktiviert ist, ist das mit den Zertifikaten alles hinfällig. Das UEFI an sich interessiert sich dafür nicht weiter. Das macht nur SecureBoot.

DVD/ISOs/Stick müsste man in so einem Fall dann manuell aktualisieren, so dass hier der passend signierte Bootmanager mit aktueller SVN verwendet wird.

Inplace Upgrade würde auch weiterhin funktionieren, da hier nicht von der DVD/Stick gebootet wird.

[Grobi847]

Ob es mit deaktiviertem Secure Boot ginge, wäre interessant. Aber ich hoffe eh, dass ich es nicht brauchen werde.

Mit deaktivierten Secure Boot geht es auf jeden Fall.
Um mit einem Stick zu Booten, mit eingeschalteten Secure Boot, muß man den Stick mit folgenden Befehlen bearbeiten.
COPY G:\EFI\MICROSOFT\BOOT\BCD G:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s G: /bootex
COPY G:\EFI\MICROSOFT\BOOT\BCD.BAK G:\EFI\MICROSOFT\BOOT\BCD

Das Laufwerk G: muß entsprechend geändert werden, in den Buchstaben den der Stick bei dir hat.

[Huetteldorfer]

Vielen Dank @Grobi847, eben deine drei Befehlszeilen im CMD Fenster als Admin laufen lassen. Dürfte tadellos geklappt haben, bin sehr beruhigt jetzt, DANKE!

[Sam2]

Um mit einem Stick zu Booten, mit eingeschalteten Secure Boot, muß man den Stick mit folgenden Befehlen bearbeiten.
COPY G:\EFI\MICROSOFT\BOOT\BCD G:\EFI\MICROSOFT\BOOT\BCD.BAK
bcdboot c:\windows /f UEFI /s G: /bootex
COPY G:\EFI\MICROSOFT\BOOT\BCD.BAK G:\EFI\MICROSOFT\BOOT\BCD
Das Laufwerk G: muß entsprechend geändert werden, in den Buchstaben den der Stick bei dir hat.

Funktioniert perfekt.
Ist in meiner Schatztruhe gespeichert.
Vielen Dank.