Windows Server: セキュア ブート証明書の更新について
概要: 本記事では、2026年6月以降、既存のセキュアブート2011証明書が期限切れとなるため、更新をお知らせするためのイベントログ"ID:1801 ソース:TPM-WMI"検出時の対処について説明します。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
現象
Windowsイベントログに、"ID:1801 ソース:TPM-WMI"のエラーが検出される。
原因
2026年6月以降、既存のセキュアブート2011証明書が期限切れとなることがアナウンスされており、2025年10月以降のWindowsの累積更新アップデートが適用されたシステム上で、このイベントが検出されるようになりました。
解決方法
1. PowerEdgeのBIOSを、セキュアブート2023証明書に対応した対策バージョンに更新します。
2025年12月以降にリリースされたバージョンが対策版です。
17世代のPowerEdgeでは、すでに対策済みBIOSの状態で出荷されているため対応は必要ありません。
2. Windows Server上で、管理者権限でPowerShellを開き、証明書状態確認コマンドを実行します。
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
各コマンドの結果が"True"と表示された場合は、対策済みの状態ということを示しています。
"False"と表示されるコマンドがある場合は、セキュアブート2023証明書が正しく登録されているかご確認ください。
セキュアブート証明書の登録状況は、F2 > SystemBIOS > System Security > Secure Bootの"Secure Boot Policy Summary"よりご確認いただけます。
対策済みBIOSの場合、以下4つのキーが登録されています。
Key Exchange Key (KEK) Database Entries Type X.509 Certificate Issuer Microsoft RSA Devices Root CA 2021 Subject Microsoft Corporation KEK 2K CA 2023 Signature Owner GUID 77FA9ABD-0359-4D32-BD60-28F4E78F784B Authorized Signature Database (db) Entries Type X.509 Certificate Issuer Microsoft RSA Devices Root CA 2021 Subject Microsoft Option ROM UEFI CA 2023 Signature Owner GUID 77FA9ABD-0359-4D32-BD60-28F4E78F784B Type X.509 Certificate Issuer Microsoft Root Certificate Authority 2010 Subject Windows UEFI CA 2023 Signature Owner GUID 77FA9ABD-0359-4D32-BD60-28F4E78F784B Type X.509 Certificate Issuer Microsoft RSA Devices Root CA 2021 Subject Microsoft UEFI CA 2023 Signature Owner GUID 77FA9ABD-0359-4D32-BD60-28F4E78F784B
Windows server 2022に関しては、上記対策後も、再起動のたびに"ID:1801 ソース:TPM-WMI"が検出され続ける状況が確認されています。
この点は、Microsoftより、証明書状態確認コマンドの結果が"True"となっていれば、システムへの影響はないものであるため、無視できるという見解を確認しており、今後のWindows OSの累積更新プログラムにおいて修正される見込みと回答を得ています。
セキュアブート証明書の更新は、今後配信されるセキュアブート関連のアップデートを受信するために必要な対策です。
本対策を実施しない場合、以下のリスクがあります。
- セキュアブート関連のアップデートを受信できない。
- BootKitマルウェアに対する脆弱性の増加
未対策の場合でも、既存セキュアブート環境が起動できなくなるということはないことを確認しています。
Microsoft公式情報
Windowsセキュアブート証明書の有効期限とCA更新プログラム
https://support.microsoft.com/ja-jp/topic/7ff40d33-95dc-4c3c-8725-a9b95457578e
TPM-WMIイベントID: 1801について(Microsoft Japan Windows Technology Support Blog)
https://jpwinsup.github.io/blog/2025/10/28/UEFI/Secure%20Boot/about-tpm-wmi-1801/
対象製品
Microsoft Windows Server 2019, Microsoft Windows Server 2022, Microsoft Windows Server 2025, PowerEdge R240, PowerEdge R250, PowerEdge R260, PowerEdge R340, PowerEdge R350, PowerEdge R360, PowerEdge R440製品
PowerEdge R450, PowerEdge R540, PowerEdge R550, PowerEdge R640, PowerEdge R6415, PowerEdge R650, PowerEdge R650xs, PowerEdge R6515, PowerEdge R6525, PowerEdge R660, PowerEdge R660xs, PowerEdge R6615, PowerEdge R6625, PowerEdge R740, PowerEdge R740XD
, PowerEdge R740XD2, PowerEdge R7415, PowerEdge R7425, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7515, PowerEdge R7525, PowerEdge R760, PowerEdge R760XA, PowerEdge R760xd2, PowerEdge R760xs, PowerEdge R7615, PowerEdge R7625, PowerEdge R840, PowerEdge R860, PowerEdge R940, PowerEdge R940xa, PowerEdge R960, PowerEdge T140, PowerEdge T150, PowerEdge T160, PowerEdge T340, PowerEdge T350, PowerEdge T360, PowerEdge T40, PowerEdge T440, PowerEdge T550, PowerEdge T560, PowerEdge T640
...
文書のプロパティ
文書番号: 000415230
文書の種類: Solution
最終更新: 19 1月 2026
バージョン: 1
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。