Windows Server für Secure Boot-Zertifikat-Updates vorbereiten

Veröffentlicht am 27. Februar 2026 von Günter Born

WindowsAuch Maschinen mit Windows Server müssen ggf. ihre Secure Boot-Zertifikate aktualisieren, wenn diese bis Sommer 2026 ablaufen. Microsoft hat die Woche daran erinnert, dass Administratoren ihre Windows Server entsprechend vorbereiten und selbst aktiv werden müssen, da es (im Gegensatz zu Clients) keine automatischen Zertifikats-Updates bei Windows Server geben wird.

Die Secure-Boot-Zertifikate laufen ab. Was sollen Admins tun? Kostenloses eBook » (Sponsored by IT Pro)


Secure Boot-Zertifikate aus 2011 laufen im Juni ab

Ich bin über nachfolgenden Post auf den Artikel Prepare your servers for Secure Boot certificate updates im Windows Server-Blog aufmerksam geworden. Die Botschaft: Ende Juni 2026 laufen die in vielen Maschinen noch vorhanden Secure Boot-Zertifikate aus dem Jahr 2011 aus, und Administratoren sollten sich vorbereiten. Die Zertifikate müssen vor dem Ablaufdatum aktualisiert werden. Das Thema selbst ist an sich nicht neu, sondern wurde bereits seit längerem, auch hier im Blog, für Windows-Clients angesprochen (siehe Links am Artikelende).

Windows Server Secure Boot-Zertifikate austauschen

Um diese Zertifikate geht es

Die vor 15 Jahren erstmals (für Windows 8-Maschinen) ausgestellten und im UEFI von Geräten ausgerollten Secure Boot-Zertifikate laufen ab Juni 2026 ab. Microsoft hat im Techcommunity-Beitrag Act now: Secure Boot certificates expire in June 2026 folgende Tabelle mit der Liste der ablaufenden Zertifikate veröffentlicht.

Windows UEFI secure boot certifcates

Was passiert beim Zertifikatsablauf?

Ist ein Zertifikat abgelaufen, werden Systeme mit Windows Server zwar noch booten, verlieren aber ihre "Vertrauensstellung" für den Secure Boot. Das mache Systeme weniger geschützt, argumentiert Microsoft und weist darauf hin, dass die Bitlocker-Härtung, die  Codeintegrität auf Startebene oder Bootloader von Drittanbietern und Options-ROMs betroffen sein können. So bekäme das System keinen neuen Sicherheitsschutz für den frühen Startvorgang mehr, sprich: Es gibt keine Updates für den Boot-Manager von Windows, die Secure Boot-Datenbanken samt Sperrlisten sowie Korrekturen für neu entdeckte Sicherheitsrisiken in der Secure Boot-Kette.

Neue Systeme ab 2025 sollten bereits 2023er-Zertifikate aufweisen

Microsoft hat bereits seit längerem mit Industriepartnern zusammen gearbeitet, so dass viele neuere Server-Hardware- und Virtual-Machine-Versionen, die 2025 veröffentlicht wurden, bereits mit den Secure-Boot-Zertifikaten von 2023 ausgestattet sind.

Dell gibt in diesem Artikel Hinweise, wie man per PowerShell prüft, welche Zertifikate installiert sind. VMware liefert für ESXi-Server in diesem Artikel ähnliche Hinweise. Auf GitHub gibt es das PowerShell-Script MSAgentSoftware/Check-SecureBootCerts.ps1 (Stand Nov. 2025). Mike F. Robbins liefert in diesem Artikel ebenfalls Hinweise zur Prüfung der Zertifikate mittels PowerShell. Im Beitrag Windows Januar 2026 Update tauscht Secure Boot Zertifikat finden sich Hinweise (von Microsoft), wie man eine Maschine per Registry auf Zertifikatsprobleme prüfen kann. Und in den Kommentaren zum Artikel Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen? finden sich weitere Hinweise zum Thema.

Windows Server ohne automatische Zertifikats-Updates

Die wichtigste Information aus dem Artikel war für mich, dass bei Windows Server die Secure Boot-Zertifikate für 2023 nicht über Controlled Feature Rollout (CFR) ausgerollt werden. Diesen Ansatz stellt Microsoft nur für Windows-Clients bereit. Daher müssen IT-Administratoren selbst Maßnahmen für die betroffenen Server ergreifen, um sicherzustellen, dass die 2023er Secure Boot-Zertifikate installiert sind.

  • Administratoren sollten zunächst sicherstellen, dass die Windows Server vollständig auf dem neuesten Update-Stand sind (d.h. die neuesten kumulativen Updates installieren).
  • Anschließend müssen sie die Secure Boot-Zertifikate manuell auf Windows Server-Systemen initiieren, sofern Secure Boot aktiviert ist und keine Secure Boot-Zertifikate für 2023 vom Hersteller ausgeliefert oder nicht anderweitig aktualisiert wurden.

Microsoft verweist auf sein Windows Server Secure Boot playbook for certificates expiring in 2026, welches zum 23. Februar 2026 veröffentlicht wurde und entsprechende Hinweise zur Zertifikatsaktualisierung enthält.

Weiterhin gibt es zwei Ask me Anything AMA-Sessions von Dezember 2025 und  Februar 2026, in denen Fragen von Administratoren beantwortet wurden. Offene Fragen können von Administratoren in weiteren geplanten AMA-Sessions am 12. März 2026 und im April  2026 (Termin wird auf der Windows Events-Seite bekannt gegeben) gestellt werden. Zudem gibt es am 9. März 2026 eine Session mit dem Titel Secure Boot certificate updates explained – Microsoft Technical Takeoff.

Ähnliche Artikel:
Microsofts UEFI Secure Boot-Zertifikat läuft im Juni 2026 ab
Achtung: Microsofts UEFI Zertifikat läuft am 19. Okt. 2026 aus – Secure Boot betroffen
Frage: BlackLotus-Schwachstelle und ablaufendes UEFI-Zertifikat – was droht uns?
Windows 10/11 KB5053484: Neues PS-Script für Zertifikate in Boot-Medien
Windows 10: Chaos beim Austausch neuer Secure Boot-Keys?
FAQ und Script zur Secure Boot-Absicherung gegen CVE-2023-24932 (Black Lotus)
Windows Januar 2026 Update tauscht Secure Boot Zertifikat
Was passiert, wenn im Juni 2026 Windows Secure Boot-Zertifikate auslaufen?

Dieser Beitrag wurde unter Sicherheit, Update, Windows Server abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros. Kommentare abseits des Themas bitte unter Diskussion. Kommentare, die gegen die Regeln verstoßen, werden rigoros gelöscht.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.