Secure Boot Transition FAQ

Summary: Ten artykuł zawiera informacje na temat najczęściej zadawanych pytań dotyczących wygaśnięcia certyfikatów bezpiecznego rozruchu.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Dotyczy systemów operacyjnych:

  • Windows

Spis treści

Informacje ogólne:

  • Czym jest przejście klucza bezpiecznego rozruchu?
    • Obecne certyfikaty Microsoft 2011 Secure Boot zaczną wygasać w czerwcu 2026 roku. Zostaną one zastąpione nowym łańcuchem certyfikatów na rok 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
  • Czy certyfikaty z 2023 r. są wymagane do zainstalowania systemu Windows 11 25H2?
    • Nie. Urządzenia można zainstalować 25H2 przy użyciu certyfikatów 2011.
  • Co się stanie, gdy bieżący certyfikat Secure Boot wygaśnie?
    • Komputer nadal może się uruchomić. Jednak z powodu wygaśnięcia certyfikatu komputer nie będzie mógł w przyszłości pobrać aktualizacji programu ładującego ani funkcji Secure Boot.
  • Czym jest strategia firmy Dell dotycząca podwójnego certyfikatu?
    • Aby ułatwić ten proces, pod koniec 2024 roku firma Dell rozpoczęła wysyłkę certyfikatów z 2011 i 2023 r. na nowo wprowadzonych platformach, a do końca 2025 r. na wszystkie trwałe platformy dostarczane z fabryk firmy Dell. Dzięki temu klienci korporacyjni ze starszymi obrazami mogą uruchamiać obrazy podpisane przy użyciu dowolnego certyfikatu.
  • Jaka jest różnica między aktywną a domyślną bazą danych bezpiecznego rozruchu?
    • Baza danych aktywnego bezpiecznego rozruchu to baza danych używana przez komputer podczas uruchamiania do weryfikacji zaufanego oprogramowania. Baza danych domyślnego bezpiecznego rozruchu to zapasowy zestaw oryginalnych zaufanych kluczy, które można przywrócić w razie potrzeby.
      W skrócie:
      • Aktywny: Obecnie wymuszane (najczęściej aktualizowane z usługi Windows Update)
      • Ustawienie domyślne: Wersja przywrócona do ustawień fabrycznych nie jest używana, chyba że zostanie przywrócona (zaktualizowano za pomocą aktualizacji systemu BIOS)
      Uwaga: Ważne jest, aby domyślna baza danych bezpiecznego rozruchu została zaktualizowana do certyfikatów z 2023 r. W przeciwnym razie, jeśli włączony jest tryb klucza eksperckiego , może to spowodować skasowanie aktywnych zmiennych pochodzących z usługi Windows Update.
  • W jaki sposób aktualizowana jest aktywna baza danych?
    • Aktywną bazę danych można zaktualizować za pomocą usługi Windows Update. Pozwala to uniknąć zakłóceń w funkcjonowaniu zabezpieczeń, takich jak funkcja BitLocker. Jeśli jednak usługa Windows Update nie jest dostępna, a klient jest doświadczonym użytkownikiem, aktywną bazę danych można zastąpić za pomocą polecenia w systemie BIOS w celu zresetowania kluczy. Więcej informacji można znaleźć w artykule Jak zaktualizować bazę danych aktywnego rozruchu z systemu BIOS .
  • W jaki sposób aktualizowana jest domyślna baza danych?
    • Domyślna baza danych jest aktualizowana przy użyciu aktualizacji systemu BIOS.
  • Co się stanie, gdy bieżący certyfikat Secure Boot wygaśnie?
    • Komputer nadal może się uruchomić. Jednak z powodu wygaśnięcia certyfikatu komputer nie będzie mógł pobrać przyszłych aktualizacji programu ładującego ani bezpiecznego rozruchu.

Powrót do góry

Komputery firmy Dell i aktualizacje:

  • Które komputery firmy Dell otrzymują aktualizacje systemu BIOS?
    • Aktualizacje firmy Dell:
      • Platformy konsumenckie i komercyjne z końcem okresu eksploatacji (EoSL) po 31 grudnia 2025 r., wysyłka z fabryk firmy Dell lub w terenie
    • Firma Dell nie aktualizuje:
      • Platformy z EoSL przed 1 stycznia 2026 r. Oznacza to, że chociaż firma Microsoft może udostępnić nowe certyfikaty, system BIOS na tych starszych komputerach może ich nie obsługiwać lub nie zachowywać, zwłaszcza w przypadku przełączenia trybu Secure Boot lub zresetowania ustawień domyślnych systemu BIOS.
  • Jakie działania podejmuje firma Dell, aby ograniczyć wpływ na klientów?
    • Dostarczenie aktualizacji systemu BIOS dla obsługiwanych platform do końca 2025 roku
    • Koordynacja z firmą Microsoft w zakresie narzędzi do odzyskiwania
    • Publikowanie artykułów z bazy wiedzy
    • Aktualizacja nośnika startowego
  • A co z wpływem na karty graficzne innych firm i komputery z systemem Linux?
    • Firma Microsoft utworzyła dwa nowe urzędy certyfikacji innych firm w 2023 r., które zastąpią wygasający urząd certyfikacji w 2011 r. Innymi słowy Microsoft Corporation UEFI CA 2011 został podzielony na Microsoft UEFI CA 2023 (dla programów ładujących) i Microsoft Option ROM UEFI CA 2023 (dla Option ROM). Wprowadzono już aktualizacje w Centrum urządzeń sprzętowych (HDC) firmy Microsoft w celu obsługi podpisywania sterowników innych firm, które wymagają tych nowych urzędów certyfikacji na rok 2023. Mimo że partnerzy mogą rozpocząć podpisywanie umów z nowymi urzędami certyfikacji na rok 2023 w październiku 2025 r., firma Microsoft i producenci OEM nadal będą obsługiwać istniejące urzędy certyfikacji Microsoft Corporation UEFI 2011, dopóki ekosystem nie będzie miał wystarczająco dużo czasu na migrację do nowych urzędów certyfikacji na rok 2023.
  • W jaki sposób klient korporacyjny może uzyskać nowy certyfikat na rok 2023 dla swojej obecnej floty urządzeń?
  • Czy są jakieś szczególne wymagania sprzętowe dla uzyskania tego certyfikatu?

Powrót do góry

Komunikacja i wskazówki dla klienta:

  • W jaki sposób Dell informuje klientów o tych informacjach?
  • Co powinni teraz zrobić klienci korporacyjni?
  • Skąd klient wie, czy ma certyfikat z 2011 czy 2023 roku?
    • Microsoft planuje dodać powiadomienia do systemu Windows dla użytkowników końcowych. Ponadto użytkownicy mogą uruchomić następujące polecenie PowerShell, aby sprawdzić, czy mają urzędy certyfikacji 2011 lub 2023 (metodologia zostanie opisana w przyszłym artykule bazy wiedzy).
  • Skąd klient wie, czy jego certyfikat wygasł lub wkrótce wygaśnie?
    • Komputery z dowolnym z trzech certyfikatów (CA), które wygasają w 2026 r.:
      Urzędy certyfikacji 2011 Data wygaśnięcia
      Microsoft Corporation KEK CA 2011 24 czerwca 2026 r
      Microsoft Windows Production PCA 2011 19 października 2026 r
      Microsoft Corporation UEFI CA 2011 27 czerwca 2026 r
  • Jeśli klient ma certyfikat na rok 2023, czy musi działać?
    • Nie. Jeśli obecne są zarówno certyfikaty Windows UEFI CA 2023, jak i Microsoft Corporation KEK 2K CA 2023, nie są wymagane żadne dalsze działania.
  • Czy klient może przejść na certyfikat z 2023 r., jeśli jego urządzenia działają z systemem Windows 10 i mają lub wkrótce wykupią rozszerzone aktualizacje zabezpieczeń (ESU)?
    • Tak, firma Microsoft aktualizuje aktywne certyfikaty dla urządzeń z systemem Windows 11 w terenie i zaktualizuje urządzenia z systemem Windows 10, jeśli urządzenie:
      • Pracuje na systemie Windows LTSC 2021
      • Ma aktywowaną licencję ESU

Powrót do góry

Skutki i odzyskiwanie:

  • Jaki jest wpływ wygasłego certyfikatu?
    • Po wygaśnięciu certyfikatów bezpiecznego rozruchu (od czerwca 2026 r.) komputery będą kontynuować rozruch (z włączonym bezpiecznym rozruchem). Jednak komputer nie otrzymuje już aktualizacji składników Menedżera rozruchu systemu Windows i Bezpiecznego rozruchu za pomocą usługi Windows Update, co powoduje naruszenie zabezpieczeń.
  • Co się stanie, jeśli bezpieczny rozruch jest wyłączony lub przełączony na urządzeniu?
    • Czasami wyłączenie Secure Boot może spowodować wymazanie wszystkich aktywnych zmiennych UEFI, co oznacza, że wszystkie urzędy certyfikacji z 2023 r., które są już używane na urządzeniu, mogą zostać usunięte (a później zastąpione starszymi urzędami certyfikacji 2011 z domyślnego oprogramowania układowego, jeśli nigdy nie zostało zaktualizowane). W przypadku urządzeń firmy Dell ten status występuje, jeśli użytkownik wybierze opcję Tryb klucza eksperta w menu systemu BIOS. W takim przypadku aktywne zmienne są pobierane z domyślnego oprogramowania wewnętrznego.
      Uwaga: Jeśli funkcja BitLocker jest włączona na urządzeniu, może zostać wyświetlony monit o wprowadzenie klucza odzyskiwania funkcji BitLocker.
  • Jakie narzędzia są dostępne do odzyskiwania?
    • Firma Microsoft wydała narzędzie do ręcznego odzyskiwania, ale ma ono ograniczenia. Zautomatyzowane narzędzia do pomocy klientom są wciąż opracowywane.

Powrót do góry

Koszty i czas trwania:

  • Czy nowe certyfikaty wiążą się z jakimiś kosztami?
    • Otrzymywanie certyfikatów z 2023 r. przy użyciu usługi Windows Update nie wiąże się z żadnymi bezpośrednimi kosztami, a urzędy certyfikacji z 2023 r. są już dostępne bezpłatnie pod adresem Wskazówki Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.dotyczące tworzenia kluczy bezpiecznego rozruchu systemu Windows i zarządzania nimi. Aktualizacje systemu BIOS niedziałających urządzeń mogą jednak wymagać ręcznej interwencji lub zaangażowania serwisantów, co może wiązać się z kosztami w zależności od umów o świadczenie pomocy technicznej.
  • Jaki jest czas ważności nowego certyfikatu?
    • Certyfikaty z 2023 roku są ważne przez 15 lat (2038).

Powrót do góry

Article Properties
Article Number: 000390990
Article Type: How To
Last Modified: 12 Nov 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.