Update der UEFI Secure Boot Zertifikate für Windows

Die Sicherheit von x86-Systemen mit aktivem UEFI Secure Boot basiert maßgeblich auf gültigen Zertifikaten, doch mit dem nahenden Ablauf des von Microsoft ausgestellten UEFI-CA2011 im Jahr 2026 (im Juni) entsteht ein kritischer Handlungsbedarf: Ohne rechtzeitige Aktualisierung auf neue Zertifikate wie UEFI-CA2023 drohen Systeme künftig nicht mehr zu starten, während gleichzeitig bislang eine standardisierte, automatisierte Update-Strategie fehlt und Anwender sowie Hersteller vor praktischen Herausforderungen bei der Umstellung stehen. In unserem Artikel zeigen wir Ihnen, wie Sie das Problem zuverlässig lösen können.

Hintergrund und Funktionsweise von UEFI Secure Boot

Bei x86-Systemen die mit UEFI Secure Boot Funktionalitäten ausgestattet sind, wird über sogenannte UEFI-Zertifikate sichergestellt, dass nur Bootmedien gebootet werden können, die mit den im System-BIOS hinterlegten Zertifikaten signierte Boot-Sektoren in den Bootmedien aufweisen. Diese Zertifikate müssen sowohl im System-BIOS als auch im installierten Betriebssystem, als Ersteller und Verwalter des Bootsektors, vorhanden sein.

Systemübergreifend haben sich hier von Microsoft ausgestellte Zertifikate sowohl in der MS-Windows- als auch in der Linux-Welt durchgesetzt. Microsoft hat hierzu 2011 das Zertifikat „UEFI-CA2011“ herausgegeben das eine Gültigkeit von 15 Jahren hat und somit 2026 (im Juni) ablaufen wird. Diese Systeme werden somit nach Ablauf der Zertifikatsgültigkeit nicht mehr booten. Um diese Systeme weiter zu betreiben, muss die Secure Boot-Funktionalität im System-BIOS deaktiviert werden. Es kann hier ebenso nötig sein die BitLocker-Funktionalität auszuschalten.

Microsoft hat bereits 2023 aktualisierte Zertifikate „UEFI-CA2023“ herausgegeben die wiederum eine Gültigkeit von 15 Jahren haben.

Aktuelle Herausforderungen bei der Zertifikatsumstellung

Bislang gibt es kein von Microsoft veröffentlichtes Szenario wie betroffene Systeme automatisiert mit aktualisierten Zertifikaten ausgestattet werden können.
Stand jetzt (Jan/2026) werden von Microsoft immer noch die alten Zertifikate bei der OS-Installation ausgerollt. Um die neuen Zertifikate verfügbar zu machen, müssen diese manuell zur Verfügung gestellt und installiert werden. Es gibt manuelle Update-Anleitungen und Tools, die auch von Microsoft unterstützt werden, um ein Update durchzuführen.

Voraussetzung für ein Zertifikatsupdate eines Systems ist allerdings, dass das neue Zertifikat auch im System-BIOS hinterlegt ist. Neue Zertifikate können zwar per Hand in ein System-BIOS eingelesen werden, gehen dann aber nach einem BIOS-Reset (z.B. nach Batterieausfall) verloren.

Vorzugsweise werden Mainboard- und Systemhersteller ihre BIOS-Versionen rechtzeitig mit neuen Zertifikaten ausstatten. Es muss hierbei mit folgenden Szenarien gerechnet werden:

• Einfach: Der Systemhersteller rollt seine Updates sowohl für BIOS als auch für OS mit einem Windows-Update aus.

• Hersteller setzen Produkte auf EOL um dem Problem aus dem Wege zu gehen.

• Hersteller stellen BIOS-Updates zur Verfügung, die vom Kunden eingespielt werden müssen. Hierzu muss dann noch der Bootsektor des Systems mit dem neuen Zertifikat signiert werden.

Lösung: Manuelles Update der Zertifikate

1. Prüfen ob im System-BIOS neue Zertifikate enthalten sind

Öffnen Sie zunächst das BIOS Ihres Systems. Hier erfahren Sie, wie sie ins BIOS gelangen.

Im BIOS des Systems unter „Security“ auf „Secure Boot“ gehen. 

Anschließend auf "Expert Key Management“

In der Übersicht der Schlüsselverwaltung auf "Key Exchange Keys (KEK)" gehen  




Hier kann man nun Details sehen (in diesem Beispiel bereits das neue Zertificat "CA 2023") 




Unter "Authorized Signatures (db)" gibt es noch Infos zu den Signaturen  

Die Schlüssel können mit Hilfe der Funktionen der Schlüsselverwaltung importiert, exportiert, gelöscht oder auf Factory-Defaults zurückgesetzt werden. In der Regel ist es üblich und hilfreich die alten Schlüssel „CA 2011“ noch so lange zusätzlich in der Schlüsselverwaltung zu belassen, solange das System nicht komplett auf die neuen Schlüssel umgestellt worden ist und es zuverlässig bootet.

2. Prüfen, ob im Betriebssystem neue Zertifikate vorhanden sind

In der Windows PowerShell mit Administratorrechten folgende Befehle ausführen:

> Install-Module -Name UEFIv2
> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Scope Process
> Import-Module UEFIv2
> Get-UEFISecureBootCerts

Sicherheitsabfragen können hierbei mit <Ja> beantwortet werden. Die Ausgabe des letzten Befehls wird auf einem PC, der bereits die neuen Zertifikate erhalten hat, dann so oder ähnlich ausschauen:

> SignatureOwner SignatureSubject
>  -------------- ----------------
>  77fa9abd-0359-4d32-bd60-28f4e78f784b CN=Microsoft Corporation UEFI CA 2011, O=Microsoft
>  77fa9abd-0359-4d32-bd60-28f4e78f784b CN=Microsoft Windows Production PCA 2011, O=Microsoft
>  77fa9abd-0359-4d32-bd60-28f4e78f784b CN=Windows UEFI CA 2023 O=Microsoft Corporation
>  77fa9abd-0359-4d32-bd60-28f4e78f784b CN=Microsoft UEFI CA 2023, O=Microsoft Corporation

Dieses Beispiel kommt von einem PC, der sowohl die alten 2011er- als auch die neuen 2023er-Zertifikate hat. Er würde sowohl alten als auch neuen Bootloadern vertrauen, solange die alten Zertifikate nicht durch die geplante zusätzliche Sperre als „unsicher“ markiert wurden. Jeder Jahrgang hat zwei Zertifikate, weil Secure Boot seit jeher zwischen Windows-Bootloadern und fremden unterscheidet. Die für Microsofts Betriebssystem zuständigen haben „Windows“ im CN-Feld (Common Name). Manchmal tauchen zusätzlich weitere Zertifikate von Microsoft sowie von Hardware-Herstellern auf.

Wenn man nur das Vorhandensein des neuen Zertifikats überprüfen möchte, reicht folgender Befehl:

> [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) `-match 'Windows UEFI CA 2023'

Dieser wird ggfs. Mit “True“ oder „False“ beantortet.

Aufschlussreicher ist das Cmdlet Get-UEFISecureBootCerts, das im Modul UEFIv2 enthalten ist. Dieses stammt vom ehemaligen Microsoft-Manager Michael Niehaus und muss erst installiert werden:

> Install-Module UEFIv2 -Force 

Anschließend kann man sich das Subject aller installierten Zertifikate anzeigen lassen:

> Get-UEFISecureBootCerts db | select SignatureSubject 

Wenn man nur herausfinden möchte, ob ein Zertifikat mit einem bestimmten Fingerabdruck installiert ist, dann geht man so vor:

> (Get-UEFISecureBootCerts db | select Signature) -match "B5EEB4A6706048073F0ED296E7F580A790B59EAA

Hier wird der match-Operator nur fündig, wenn das Zertifikat Microsoft UEFI CA 2023 installiert ist. Es wird verwendet, um den Boot-Manager zu signieren. Daher sollte man gleich schauen, ob dieser zum Zertifikat passt. Dies lässt sich so erledigen:

> mountvol S: /s
> Get-PfxCertificate -FilePath “S:\EFI\Microsoft\Boot\bootmgfw.efi" |
> Format-List Issuer, Subject, NotBefore, NotAfter

> mountvol S: /d 

3. UEFI-Zertifikate und Boot-Manager manuell aktualisieren

Für das manuelle Update stehen mehrere Verfahren zu Auswahl.

1. Bearbeiten der Registry

2. Gruppenrichtlinienobjekt benutzen (Group Policy Object - GPO)

3. WinCS-Tool für die Kommandozeile

4. Zum Schluss dann das Ergebniss überprüfen 

a. Bearbeiten der Registry

Das älteste davon besteht darin, dass man in der Registry unter HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot den Wert für AvailableUpdates mit einer Bitmaske belegt, welche die gewünschten Aufgaben definiert. Sie setzt sich aus folgenden Teilwerten zusammen, die mit einem binären OR verknüpft werden:

0x0040 (Windows UEFI CA 2023)
0x0800 (Microsoft UEFI CA 2023)
0x1000 (Microsoft Option ROM UEFI CA 2023)
0x0004 (Microsoft Corporation KEK 2K CA 2023)
0x0100 (Mit Windows UEFI CA 2023 signierten Boot-Manager aktivieren)

Auf diese Weise könnte man, in der Windows PowerShell mit Administratorrechten, zum Beispiel zuerst nur die Installation der beiden ersten Zertifikate so veranlassen:

> Set-ItemProperty -Name "AvailableUpdates" -Value 0840 -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\"

Anschließend führt man die Scheduled Task Secure-Boot-Update aus, die den Wert aus AvailableUpdates entnimmt und die darin definierten Schritte abarbeitet:

> Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Danach bootet man den Rechner zweimal neu, damit die Änderungen wirksam werden.

b. Gruppenrichtlinienobjekt benutzen (Group Policy Object - GPO)

In der Regel will man nicht jeden Teilschritt einzeln ausführen, sondern bestimmt mit dem Wert 0x5944, dass die geplante Aufgabe alle Aktionen für das Update in einem Durchgang erledigt. In diesem Fall muss man den Wert für AvailableUpdates nicht direkt in die Registry schreiben, vielmehr kann man stattdessen die Einstellung Enable Secure Boot Certificate Deployment aktivieren.

Sobald das GPO greift, führt man wie oben beschrieben die geplante Aufgabe aus.

 c. WinCS-Tool für die Kommandozeile

Mit dem optionalen Update vom 28. Oktober (KB5067036) führte Microsoft ein CLI-Tool für das WinCS-API ein. Es ist auch nach dem monatlichen Update vom November 2025 für Windows 11 23H2 und höher generell verfügbar. Damit kann man die Einstellungen für das Update der Zertifikate und des Boot-Managers abfragen und konfigurieren. Den aktuellen Status erhält man mit:

> WinCsFlags.exe /query

Die aktive Konfiguration hat entweder den Wert F33E0C8E001 oder F33E0C8E002. Ersterer entspricht dem Status Disabled, ein Update ist somit nicht geplant. Durch den Wechsel auf F33E0C8E002 setzt man das Flag, das die neuen Zertifikate und den Boot-Manager installiert:

> WinCsFlags.exe /apply --key "F33E0C8E002"

Dieser Befehl schreibt keinen Wert in die Registry. Erst wenn man die geplante Aufgabe startet, dann nutzt diese den Schlüssel AvailableUpdates, um die einzelnen Teilschritte zu dokumentieren. Sie beginnt mit 0x5944 und zieht den Wert für jede erfolgreich absolvierte Aufgabe ab, bis er idealerweise null erreicht.

 d. Ergebniss überprüfen 

Nach Abschluss der geplanten Aufgabe sollte überprüft werden, ob alle Schritte erfolgreich durchgeführt wurden. Dazu kann man sich der weiter oben beschriebenen Mittel bedienen, um die in der Firmware installierten Zertifikate anzuzeigen und um zu prüfen, womit der Boot-Manager signiert wurde.
Aufschluss darüber, ob der ganze Prozess erfolgreich war, gibt auch der Wert des Registry-Schlüssels AvailableUpdates. Wie erwähnt, subtrahiert die geplante Aufgabe nach jedem erfolgreichen Teilschritt den dazugehörigen Wert, so dass schließlich Null übrigbleibt. Scheitert der Vorgang an einer bestimmten Stelle, dann bleibt die Bitmaske für die noch ausstehenden Aufgaben zurück.
Den Inhalt des Schlüssels gibt man im Hex-Format so aus:

> Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\ | select @{n="AvailableUpdates";e={'0x' + '{0:x}' -f $_.AvailableUpdates}}

In der obigen Abbildung sieht man, dass AvailableUpdates noch den Wert 0x4104 hat. Nachdem der Ausgangspunkt 0x5944 war, ist klar, dass alle Aufgaben abgearbeitet wurden, die insgesamt für die BitMask 0x1840 stehen: 0x5944 - 0x4104 = 0x1840. Dieser Wert schlüsselt sich so auf:

0x1000 (Microsoft Option ROM UEFI CA 2023)
0x0800 (Microsoft UEFI CA 2023)
0x0040 (Windows UEFI CA 2023)

Diese drei Schritte hat die Scheduled Task erfolgreich absolviert. Das Zertifikat KEK 2K CA 2023 (0x0004) und der mit dem Windows UEFI CA 2023 signierte Boot-Manager (0x0100) wurden hingegen nicht installiert. Der Rest von 0x4000 beschreibt keine eigene Aktion, sondern modifiziert nur das Verhalten von 0x0800 und 0x1000.

4. Manuelles Update der Bootsektor-Signaturen und der BIOS-NVRAM-Zertifikate

Überprüfung Zertifikate

a. Überprüfen ob Secure Boot aktiv ist

In der Windows PowerShell mit Administratorrechten gibt man folgenden Befehl ein:

> Confirm-SecureBootUEFI

Ergebnis: True = Aktiv

b. Überprüfen ob die neuen Schlüssel bereits vorhanden sind

> ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

Sollte Secure Boot nicht aktiv sein erscheint an der Stelle ein Fehler dass die Variable nicht gesetzt ist.
Ergebnis: True = Neues Zertifikat vorhanden

Für mehr Details:

a. UEFIv2 Modul installieren:

> Install-Module -Name UEFIv2

Hier kann es zur Aufforderung kommen dass der NuGet-Provider fehlt, diesen sollte man nachinstallieren lassen.

b. Signaturstufe ändern (sonst kann der darauf folgende Befehl nicht ausgeführt werden):

> Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

c. UEFIv2 Modul importieren:

> Import-Module -Name UEFIv2

d. Zertifikate anzeigen lassen:

Beispielausgabe:

PS C:Windowssystem32> (Get-UEFISecureBootCerts db).signature
Thumbprint                               Subject
----------                               -------
46DEF63B5CE61CF8BA0DE2E6639C1019D0ED14F3 CN=Microsoft Corporation UEFI CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
45A0FA32604773C82433C3B7D59E7466B3AC0C67 CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
580A6F4CC4E4B669B9EBDC1B2B3E087B80D0678D CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
4A9CF1D4947B8CDF240691CFFCC9A6637ECA4CD0 CN=GIGABYTE 093FCEC2C9AAA782376210DCE3FCDCDAECFBA25E CN=GIGABYTE

Installation der Zertifikate über Microsoft Update

a. Updateschlüssel in der Registry anpassen/erstellen

Mit „regedit“ unter HKEY_LOCAL_MACHINESYSTEM\CurrentControlSet\Control\SecureBoot
Name: AvailableUpdates
Typ: DWORD
Wert: 0x5944 (hex)

b. Update starten lassen (Administrator Powershell)

> Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Der o.g Eintrag sollte sich geändert haben auf 4100.

c. Neustart

d. Bootmanager updaten (Administrator PowerShell)

> Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Selber Befehl wie zuvor.

e. Neustart

Anmerkung: Bei den meisten Systemen führen die o.a. Schritte u.a. dazu, dass die entsprechenden CA2023-Keys im volatilen Speicher und nicht im NVRAM des System BIOS eingetragen werden, d.h. dass nach Ausfall oder Tausch der BIOS-Batterie die Zertifikate neu eingetragen werden müssen. Dies lässt sich durch ein vorheriges Sichern aus dem BIOS heraus bewerkstelligen. Sollen die Keys auch nach einem Batterieausfall erhalten bleiben, müssen die Keys im Rahmen eines BIOS-Updates, welche diese bereits enthält, eingespielt werden.

5. Quellen und weiterführende Links

https://support.microsoft.com/de-de/topic/zertifikatupdates-f%C3%BCr-den-sicheren-start-leitfaden-f%C3%BCr-it-experten-und-organisationen-e2b43f9f-b424-42df-bc6a-8476db65ab2f

https://support.microsoft.com/de-de/topic/ablauf-des-windows-secure-boot-zertifikats-und-updates-der-zertifizierungsstelle-7ff40d33-95dc-4c3c-8725-a9b95457578e

https://www.heise.de/news/Windows-Updates-Neue-Boot-Zertifikate-Fehlerkorrekturen-und-neue-Probleme-11153454.html

https://www.msxfaq.de/windows/sicherheit/uefi_secure_boot_blacklotus.htm

https://www.windowspro.de/wolfgang-sommergut/uefi-zertifikate-fuer-secure-boot-installieren-erfolg-ueberpruefen-fehler