Microsoft Secure‑Boot‑Zertifikate

Windows Secure Boot-Zertifikate

Secure Boot ist ein Sicherheitsfeature in der UEFI-basierten Firmware (Unified Extensible Firmware Interface), die sicherstellt, dass nur vertrauenswürdige Software während der Startsequenz eines Geräts ausgeführt wird. Seit Windows die Unterstützung für Secure Boot eingeführt hat, verfügen alle Windows-basierten Geräte über denselben Satz von Microsoft-Zertifikaten im KEK und in der Datenbank. Diese ursprünglichen Zertifikate nähern sich ihrem Ablaufdatum mit Juni 2026. Um Windows weiterhin auszuführen und regelmäßige Updates für Ihre Konfiguration für den sicheren Start zu erhalten, müssen Sie diese Zertifikate aktualisieren.

Next Steps:

Inventarisierung & Identifizierung der betroffenen Systeme.

Prüfung der UEFI-/BIOS-/Firmware-Kompatibilität bzw. Verfügbarkeit erforderlicher OEM-Updates.

Pilotierung / Validierung auf repräsentativen Systemen.

Patching / Zertifikatsupdate inkl. erforderlichem Reboot.

Erfolgskontrolle (Prüfung, ob die 2023-Zertifikate in KEK/DB vorhanden sind).

we transform for the better

Inventarisierung

Physische und virtuelle Maschinen (VMs) mit unterstützten Versionen von:

Windows 10
Windows 11
Windows Server 2012
Windows Server 2012 R2
Windows Server 2016
Windows Server 2019
Windows Server 2022
Windows Server 2025

Dies betrifft alle seit 2012 veröffentlichten Systeme, einschließlich Long-Term Servicing Channel (LTSC).

⚠️ Hinweis: Windows 8 ist ebenfalls betroffen, wird jedoch nicht mehr unterstützt.

Hinweis:
Betroffene Drittbetriebssysteme umfassen auch macOS. Diese liegen jedoch außerhalb des Microsoft-Supportumfangs.
Bei Linux-Systemen im Dual-Boot mit Windows aktualisiert Windows die Zertifikate, auf die Linux angewiesen ist.

Quelle: https://techcommunity.microsoft.com/blog/windows-itpro-blog/act-now-secure-boot-certificates-expire-in-june-2026/4426856

we transform for the better

Patching

Die Aktualisierung der Secure-Boot-Zertifikate ist abhängig von der Unterstützung durch die UEFI-/BIOS-/Firmware des jeweiligen Herstellers. In bestimmten Fällen reicht ein Windows-Update allein nicht aus. Zusätzlich kann ein aktuelles OEM-Firmware-/BIOS-Update erforderlich sein, damit die neuen 2023-Secure-Boot-Zertifikate (insbesondere KEK und DB) erfolgreich eingespielt werden können:

Microsoft OEM Hersteller: Original Equipment Manufacturer (OEM) pages for Secure Boot - Microsoft Support
Microsoft Azure Local: Security updates for Azure Local - Azure Local | Microsoft Learn
Microsoft Playbook Windows Server: Windows Server Secure Boot playbook for certificates expiring in 2026 | Microsoft Community Hub
Microsoft Playbook Windows Client: Secure Boot playbook for certificates expiring in 2026
Broadcom: Secure Boot Certificate Expirations and Update Failures in VMware Virtual Machines
Broadcom: Manual Update of the Secure Boot Platform Key in Virtual Machines
RedHat: Secure Boot Certificate Changes in 2026: Guidance for RHEL Environments - Red Hat Customer Portal
HP Client: https://support.hp.com/us-en/document/ish_13070353-13070429-16
Lenovo: https://support.lenovo.com/de/en/solutions/ht518129-2011-microsoft-secure-boot-certificate-expiration-lenovo-commercial-pcs
Dell Client: https://www.dell.com/support/kbdoc/en-us/000390990/secure-boot-transition-faq?msockid=224440b9ea8f60452cc65600eb706198