Przejście Secure Boot — często zadawane pytania

Summary: Ten artykuł zawiera informacje na temat najczęściej zadawanych pytań dotyczących wygaśnięcia certyfikatów Secure Boot.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Dotyczy systemów operacyjnych:

  • Windows

Spis treści

Informacje ogólne:

  • Czym jest przejście Secure Boot?
    • Obecne certyfikaty Microsoft 2011 Secure Boot zaczną wygasać w czerwcu 2026 roku. Zostaną one zastąpione nowym łańcuchem certyfikatów na rok 2023: KEK CA 2023, UEFI CA 2023, Windows UEFI CA 2023
  • Czy certyfikaty z 2023 r. są wymagane do zainstalowania systemu Windows 11 25H2?
    • Nie. Na urządzeniach można zainstalować 25H2 przy użyciu certyfikatów z 2011 r.
  • Co się stanie, gdy bieżący certyfikat Secure Boot wygaśnie?
    • Komputer nadal może się uruchomić. Jednak z powodu wygaśnięcia certyfikatu komputer nie będzie mógł w przyszłości pobrać aktualizacji programu ładującego ani funkcji Secure Boot.
  • Czym jest strategia firmy Dell dotycząca podwójnego certyfikatu?
    • Aby ułatwić ten proces, pod koniec 2024 roku firma Dell rozpoczęła wysyłkę certyfikatów z 2011 i 2023 r. na nowo wprowadzonych platformach, a do końca 2025 r. — na wszystkie trwałe platformy dostarczane z zakładów firmy Dell. Dzięki temu klienci korporacyjni ze starszymi obrazami mogą uruchamiać obrazy podpisane przy użyciu dowolnego certyfikatu.
  • Jaka jest różnica między aktywną a domyślną bazą danych Secure Boot?
    • Aktywna baza danych Secure Boot to baza danych używana przez komputer podczas uruchamiania do weryfikacji zaufanego oprogramowania. Domyślna baza danych Secure Boot to zapasowy zestaw oryginalnych zaufanych kluczy, które można przywrócić w razie potrzeby.
      W skrócie:
      • Aktywna: Obecnie wymuszane (najczęściej aktualizowane z usługi Windows Update)
      • Domyślna: Wersja przywrócona do ustawień fabrycznych nie jest używana, chyba że zostanie przywrócona (zaktualizowano za pomocą aktualizacji systemu BIOS)
      Uwaga: ważne jest, aby domyślna baza danych Secure Boot została zaktualizowana do certyfikatów z 2023 r. W przeciwnym razie, jeśli włączony jest tryb Expert Key Mode, może to spowodować skasowanie aktywnych zmiennych pochodzących z usługi Windows Update.
  • W jaki sposób aktualizowana jest aktywna baza danych?
    • Aktywną bazę danych można zaktualizować za pomocą usługi Windows Update. Pozwala to uniknąć zakłóceń w funkcjonowaniu zabezpieczeń, takich jak funkcja BitLocker. Jeśli jednak usługa Windows Update nie jest dostępna, a klient jest doświadczonym użytkownikiem, aktywną bazę danych można zastąpić za pomocą polecenia w systemie BIOS w celu zresetowania kluczy. Więcej informacji można znaleźć w artykule Jak zaktualizować aktywną bazę danych Secure Boot z systemu BIOS.
  • W jaki sposób aktualizowana jest domyślna baza danych?
    • Domyślna baza danych jest aktualizowana za pomocą operacji BIOS FLASH.
  • Co się stanie, gdy bieżący certyfikat Secure Boot wygaśnie?
    • Komputer nadal może się uruchomić. Jednak z powodu wygaśnięcia certyfikatu komputer nie będzie mógł w przyszłości pobrać aktualizacji programu ładującego ani funkcji Secure Boot.

Powrót do góry

Komputery firmy Dell i aktualizacje:

  • Które komputery firmy Dell otrzymują aktualizacje systemu BIOS?
    • Aktualizacje firmy Dell:
      • Platformy konsumenckie i komercyjne z końcem okresu eksploatacji (EoSL) po 31 grudnia 2025 r., wysyłka z zakładów firmy Dell lub w terenie
    • Czego nie aktualizuje firma Dell:
      • Platformy z EoSL przed 1 stycznia 2026 r. Oznacza to, że chociaż firma Microsoft może udostępnić nowe certyfikaty, system BIOS na tych starszych komputerach może ich nie obsługiwać lub nie zachowywać, zwłaszcza w przypadku przełączenia trybu Secure Boot lub zresetowania ustawień domyślnych systemu BIOS.
  • Jakie działania podejmuje firma Dell, aby ograniczyć wpływ na klientów?
    • Dostarczenie aktualizacji systemu BIOS dla obsługiwanych platform do końca 2025 roku
    • Koordynacja z firmą Microsoft w zakresie narzędzi do odzyskiwania
    • Publikowanie artykułów bazy wiedzy
    • Aktualizacja nośników startowych
  • A co z wpływem na karty graficzne innych firm i komputery z systemem Linux?
    • Firma Microsoft utworzyła dwa nowe urzędy certyfikacji innych firm w 2023 r., które zastąpią wygasający urząd certyfikacji w 2011 r. Innymi słowy Microsoft Corporation UEFI CA 2011 został podzielony na Microsoft UEFI CA 2023 (dla programów ładujących) i Microsoft Option ROM UEFI CA 2023 (dla Option ROM). W Microsoft Hardware Device Center (HDC) wprowadzono już aktualizacje umożliwiające podpisywanie sterowników firm trzecich, które wymagają nowych certyfikatów z 2023 roku. Mimo że partnerzy mogą rozpocząć podpisywanie umów z nowymi urzędami certyfikacji na rok 2023 w październiku 2025 r., firma Microsoft i producenci OEM nadal będą obsługiwać istniejące urzędy certyfikacji Microsoft Corporation UEFI 2011, dopóki ekosystem nie będzie miał wystarczająco dużo czasu na migrację do nowych urzędów certyfikacji na rok 2023.
  • W jaki sposób klient korporacyjny może uzyskać nowy certyfikat na rok 2023 dla swojej obecnej floty urządzeń?
  • Czy są jakieś szczególne wymagania sprzętowe dla uzyskania tego certyfikatu?
    • Urządzenia muszą obsługiwać funkcję Secure Boot i być zgodne z aktualizacjami oprogramowania układowego UEFI. Firma Dell przeprowadza wewnętrzną walidację platform i opublikowała listę obsługiwanych komputerów w artykule bazy wiedzy firmy Dell Wygaśnięcie certyfikatu Secure Boot Microsoft 2011.

Powrót do góry

Komunikacja i wskazówki dla klientów:

  • W jaki sposób Dell przekazuje to klientom?
    • Firma Dell opublikowała artykuł Wygaśnięcie certyfikatu Secure Boot Microsoft 2011, który został zaktualizowane o listę platform firmy Dell gotowych do aktualizacji. W razie potrzeby firma Dell przekaże dodatkowe komunikaty zgodne z publicznymi wytycznymi firmy Microsoft.
  • Co powinni teraz zrobić klienci korporacyjni?
  • Skąd klient wie, czy ma certyfikat z 2011 czy 2023 roku?
    • Microsoft planuje dodać powiadomienia do systemu Windows dla użytkowników końcowych. Ponadto użytkownicy mogą uruchomić poniższe polecenie PowerShell, aby sprawdzić, czy mają urzędy certyfikacji 2011 lub 2023 (metodologia zostanie opisana w przyszłym artykule bazy wiedzy).
  • Skąd klient wie, czy jego certyfikat wygasł lub wkrótce wygaśnie?
    • Komputery z dowolnym z trzech certyfikatów (CA), które wygasają w 2026 r.:
      Urzędy certyfikacji 2011 Data wygaśnięcia
      Microsoft Corporation KEK CA 2011 24 czerwca 2026 r.
      Microsoft Windows Production PCA 2011 19 października 2026 r.
      Microsoft Corporation UEFI CA 2011 27 czerwca 2026 r.
  • Jeśli klient ma certyfikat na rok 2023, czy musi działać?
    • Nie. Jeśli obecne są zarówno certyfikaty Windows UEFI CA 2023, jak i Microsoft Corporation KEK 2K CA 2023, nie są wymagane żadne dalsze działania.
  • Czy klient może przejść na certyfikat z 2023 r., jeśli jego urządzenia pracują na systemie Windows 10 i mają lub wkrótce wykupią rozszerzone aktualizacje zabezpieczeń (ESU)?
    • Tak, firma Microsoft aktualizuje aktywne certyfikaty dla urządzeń z systemem Windows 11 w terenie i zaktualizuje urządzenia z systemem Windows 10, jeśli urządzenie:
      • Pracuje na systemie Windows LTSC 2021
      • Ma aktywowaną licencję ESU

Powrót do góry

Wpływ i odzyskiwanie:

  • Jaki jest wpływ wygaśnięcia certyfikatu?
    • Po wygaśnięciu certyfikatów Secure Boot (od czerwca 2026 r.) komputery nadal będą się uruchamiać (z włączoną funkcją Secure Boot). Jednak komputer przestaje otrzymywać aktualizacje Menedżera rozruchu systemu Windows oraz komponentów Secure Boot za pośrednictwem Windows Update, co stawia go w osłabionym stanie bezpieczeństwa.
  • Co się stanie, jeśli funkcja Secure Boot jest wyłączona lub przełączona na urządzeniu?
    • Czasami wyłączenie Secure Boot może spowodować wymazanie wszystkich aktywnych zmiennych UEFI, co oznacza, że wszystkie urzędy certyfikacji z 2023 r., które są już używane na urządzeniu, mogą zostać usunięte (a później zastąpione starszymi urzędami certyfikacji 2011 z domyślnego oprogramowania układowego, jeśli nigdy nie zostało zaktualizowane). W przypadku urządzeń firmy Dell ten status występuje, jeśli użytkownik wybierze opcję Expert Key Mode w menu systemu BIOS. W takim przypadku aktywne zmienne są pobierane z domyślnego oprogramowania wewnętrznego.
      Uwaga: jeśli na urządzeniu włączona jest funkcja BitLocker, może zostać wyświetlony monit o wprowadzenie klucza odzyskiwania funkcji BitLocker.
  • Jakie narzędzia są dostępne do odzyskiwania?
    • Firma Microsoft wydała narzędzie do ręcznego odzyskiwania, ale ma ono ograniczenia. Zautomatyzowane narzędzia do pomocy klientom są wciąż opracowywane.

Powrót do góry

Koszty i okres ważności:

  • Czy nowe certyfikaty wiążą się z jakimiś kosztami?
    • Otrzymywanie certyfikatów z 2023 r. przy użyciu usługi Windows Update nie wiąże się z żadnymi bezpośrednimi kosztami, a urzędy certyfikacji z 2023 r. są już dostępne bezpłatnie tutaj: Wytyczne dotyczące tworzenia i zarządzania kluczami Secure Boot w systemie Windows Kliknięcie tego hiperłącza powoduje wyświetlenie strony spoza witryny Dell Technologies.. Aktualizacje systemu BIOS niedziałających urządzeń mogą jednak wymagać ręcznej interwencji lub zaangażowania serwisantów, co może wiązać się z kosztami w zależności od umów o świadczenie pomocy technicznej.
  • Jaki jest okres ważności nowego certyfikatu?
    • Certyfikaty z 2023 roku są ważne przez 15 lat (2038).

Powrót do góry

Article Properties
Article Number: 000390990
Article Type: How To
Last Modified: 14 Jan 2026
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.