Windowsin Secure Boot -sertifikaatin vanheneminen ja CA-päivitykset

Käytetään kohteeseen
Windows 10 Windows 10, version 1607, all editions Win 10 Ent LTSC 2019 Win 10 IoT Ent LTSC 2019 Windows 10 IoT Core LTSC Windows 10 Enterprise LTSC 2021 Windows 10 IoT Enterprise LTSC 2021 Windows 10, version 22H2, all editions Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Windows 11 SE, version 23H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 SE, version 24H2 Windows 11 Enterprise and Education, version 24H2 Windows 11 Enterprise Multi-Session, version 24H2 Windows 11 Home and Pro, version 24H2 Windows 11 IoT Enterprise, version 24H2 Windows Server 2012 ESU Windows Server 2012 R2 ESU Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows Server 2025

Huomautus

  • Alkuperäinen julkaisupäivä: Kesäkuu 26, 2025
  • KB-tunnus: 5062710
Muutosloki
Muuta päivämäärää Muutoksen kuvaus
18. toukokuuta 2026
  • Päivitetty "Windowsin suojatun käynnistyksen sertifikaatit, jotka vanhenevat vuonna 2026" -osion varmennetaulukkoon kuukauden päivä.
5. toukokuuta 2026
  • Lisätty uusi osio, Microsoftin asiakastuen resurssit.
Helmikuu 3, 2026
  • Lisätty uusi osio "Suojatun käynnistyksen varmenteen vanhenemisen vaikutus".
  • Poistettu huomautukset, jotka on merkitty tärkeiksitoimintakutsun ylä- ja alapuolelta.
10. marraskuuta 2025 Korjattu kaksi kirjoitusvirhettä kohdassa "Uusi varmenne":
  • Microsoft Corporation KEK CA 2023" -asetukseksi "Microsoft Corporation KEK 2K CA 2023"
  • ja "Microsoft Option ROM CA 2023" "Microsoft Option ROM UEFI CA 2023" -asetukseen

Mikä on suojattu käynnistys?

Suojattu käynnistys on UEFI (Unified Extensible Firmware Interface) -pohjaisen laiteohjelmiston suojausominaisuus, jonka avulla voidaan varmistaa, että vain luotetut ohjelmistot suoritetaan laitteen käynnistysjakson aikana. Se toimii vahvistamalla käynnistystä edeltävän ohjelmiston digitaalisen allekirjoituksen laitteen laiteohjelmistoon tallennettujen luotettujen digitaalisten varmenteiden (tunnetaan myös nimellä varmenteen myöntäjä tai CA) perusteella. Alan standardina UEFI Secure Boot määrittää, miten ympäristön laiteohjelmisto hallitsee varmenteita, todentaa laiteohjelmiston ja miten käyttöjärjestelmä on yhteydessä tähän prosessiin. Lisätietoja UEFI:stä ja suojatusta käynnistyksestä on ohjeaiheessa Suojattu käynnistys.

Suojattu käynnistys otettiin ensimmäisenä käyttöön Windows 8:ssa suojautumaan käynnistystä edeltävältä haittaohjelmistolta (tunnetaan myös nimellä bootkit). Osana alustan alustusta Secure Boot todentaa laiteohjelmistomoduulit ennen suorittamista. Nämä moduulit sisältävät UEFI-laiteohjelmisto-ohjaimet (kuten Option ROM), käynnistyslatausohjelmat ja sovellukset. Suojatun käynnistyksen prosessin viimeisessä vaiheessa laiteohjelmisto tarkistaa, luottaako suojattu käynnistys käynnistyslatausohjelmaan. Sitten laiteohjelmisto siirtää hallinnan käynnistyslataimelle, joka puolestaan tarkistaa, latautuu muistiin ja käynnistää Windows-käyttöjärjestelmän.

Suojattu käynnistys määrittää luotetun koodin valmistajan aikana määritetyn laiteohjelmistokäytännön avulla. Tähän käytäntöön tehtäviä muutoksia, kuten varmenteiden lisäämistä tai kumotamista, hallitaan avainhierarkian mukaan. Hierarkia alkaa käyttöympäristöavaimesta (PK), joka on yleensä laitteistovalmistajan omistama, ja sen jälkeen avainrekisteröintiavaimesta (KEK) (tunnetaan myös nimellä avainvaihtoavain), johon voi kuulua Microsoft KEK ja muita OEM-keke-laitteita. Sallittujen allekirjoitusten tietokanta (DB) ja ei-sallittujen allekirjoitusten tietokanta (DBX) määrittävät, minkä koodin voidaan suorittaa UEFI-ympäristössä ennen käyttöjärjestelmän käynnistymistä. DB sisältää Microsoftin ja OEM:n hallitsemat varmenteet, kun taas Microsoft päivittää DBX:ään uusimmat kumoamiset. Mikä tahansa entiteetti, jolla on KEK, voi päivittää tietokannan ja DBX:n.

Suojatun käynnistyksen varmenteen vanhenemisen vaikutus

Microsoft päivittää alun perin vuonna 2011 myönnettyjä suojatun käynnistyksen varmenteita varmistaakseen, että Windows-laitteet tarkistavat edelleen luotetun käynnistyksen ohjelmistot. Nämä vanhemmat varmenteet alkavat vanhentua kesäkuussa 2026. Laitteet, jotka eivät ole saaneet uudempia vuoden 2023 varmenteita, käynnistyvät edelleen ja toimivat edelleen normaalisti, ja tavallisia Windows-päivityksiä asennetaan edelleen. Nämä laitteet eivät kuitenkaan enää voi vastaanottaa uusia suojaussuojauksia aikaisen käynnistysprosessin aikana, mukaan lukien Windowsin käynnistyksen hallinnan päivitykset, suojatun käynnistyksen tietokannat, kumoamisluettelot tai lievennykset äskettäin löydettyihin käynnistystason haavoittuvuuksiin.

Ajan mittaan tämä rajoittaa laitteen suojausta uusilta uhilta ja voi vaikuttaa skenaarioihin, jotka perustuvat suojatun käynnistyksen luottamukseen, kuten BitLocker-kovennukseen tai kolmannen osapuolen käynnistyslatajiin. Useimmat Windows-laitteet saavat päivitetyt varmenteet automaattisesti, ja monet OEM-valmistajat toimittavat laiteohjelmistopäivityksiä tarvittaessa. Laitteen pitäminen ajan tasalla näiden päivitysten avulla varmistaa, että se saa jatkossakin kaikki suojaukset, jotka suojatun käynnistyksen on tarkoitus tarjota.

Windowsin suojatun käynnistyksen varmenteet, jotka vanhenevat vuonna 2026

Sen jälkeen kun Windows otti käyttöön suojatun käynnistyksen tuen, kaikissa Windows-pohjaisissa laitteissa on ollut sama joukko Microsoft-varmenteita KEK:ssä ja tietokannassa. Näiden alkuperäisten varmenteiden viimeinen voimassaolopäivä lähestyy, ja laitteellasi on jokin luetelluista varmenneversioista ongelma vaikuttaa laitteeseesi. Jos haluat jatkaa Windowsin käyttöä ja saada säännöllisiä päivityksiä suojatun käynnistyksen määrityksiin, sinun on päivitettävä nämä varmenteet.

Terminologia

  • KEK: Avaimen rekisteröintiavain
  • CA: Varmenteen myöntäjä
  • DB: Suojatun käynnistyksen allekirjoitustietokanta
  • DBX: Suojatun käynnistyksen kumotun allekirjoituksen tietokanta
Vanheneva varmenne Vanhentumispäivä Uusi varmenne Tallennussijainti Käyttötarkoitus
Microsoft Corporation KEK CA 2011 Kesäkuu 24, 2026 Microsoft Corporation KEK 2K CA 2023 Tallennettu KEK:iin Allekirjoittaa päivitykset DB:hen ja DBX:ään.
Microsoft Windows Production PCA 2011 19. lokakuuta 2026 Windows UEFI CA 2023 Tallennettu tietokantaan Käytetään Windowsin käynnistyslataimen allekirjoittamiseen.
Microsoft UEFI CA 2011*** Kesäkuu 27, 2026 Microsoft UEFI CA 2023 Tallennettu tietokantaan Allekirjoittaa kolmannen osapuolen käynnistyslatausohjelmia ja EFI-sovelluksia.
Microsoft UEFI CA 2011*** Kesäkuu 27, 2026 Microsoft Option ROM UEFI CA 2023 Tallennettu tietokantaan Allekirjoittaa kolmannen osapuolen optio-ROM-levyjä

Huomautus

*Microsoft Corporation UEFI CA 2011 -varmenteen uusimisen aikana kaksi varmennetta erottavat käynnistyslataimen allekirjoituksen option ROM-allekirjoituksesta. Tämä mahdollistaa järjestelmän luottamuksen tarkemman hallinnan. Esimerkiksi järjestelmät, joiden on luotettava optio-ROM-levyihin, voivat lisätä Microsoft Option ROM UEFI CA 2023:n lisäämättä luottamusta kolmannen osapuolen käynnistyslatamiin.

Microsoft on myöntänyt päivitetyt varmenteet suojatun käynnistyksen suojauksen jatkuvuuden varmistamiseksi Windows-laitteissa. Microsoft hallitsee näiden uusien varmenteiden päivitysprosessia merkittävässä osassa Windows-laitteita. Lisäksi tarjoamme yksityiskohtaisia ohjeita organisaatioille, jotka hallitsevat omia laitepäivityksiään.

Toimintakehote

Sinun on ehkä ryhdyttävä toimenpiteisiin varmistaaksesi, että Windows-laitteesi pysyy suojattuna, kun varmenteet vanhenevat vuonna 2026. Sekä UEFI Secure Boot DB että KEK on päivitettävä vastaavilla uusilla vuoden 2023 varmenneversioilla. Lisätietoja uusista varmenteista on ohjeaiheessa Windowsin suojatun käynnistysavaimen luonti- ja hallintaohjeet.

Toimintosi vaihtelevat Windows-laitteen tyypin mukaan. Valitse vasemmalla olevasta valikosta laitteen tyyppi ja haluamasi toiminto.

Microsoftin asiakastuen resurssit

Jos haluat ottaa yhteyttä Microsoft-tukeen, katso:

  • Microsoft-tuki ja valitse sitten Windows.

  • ja luo sitten uusi tukipyyntö valitsemalla Luo.

    Kun olet luonut uuden tukipyynnön, sen pitäisi näyttää seuraavalta:

    Luo uusi tukipyyntö