{"id":321091,"date":"2026-02-06T00:11:02","date_gmt":"2026-02-05T23:11:02","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=321091"},"modified":"2026-02-09T11:19:16","modified_gmt":"2026-02-09T10:19:16","slug":"secure-boot-zertifikatswechsel-es-gibt-huerden-beim-austausch-teil-2","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/02\/06\/secure-boot-zertifikatswechsel-es-gibt-huerden-beim-austausch-teil-2\/","title":{"rendered":"Secure Boot-Zertifikatswechsel: Es gibt H\u00fcrden beim Austausch – Teil 2"},"content":{"rendered":"

\"Windows\"Im Beitrag Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft<\/a> – Teil 1 hatte ich ja darauf hingewiesen, dass die Uhr f\u00fcr Windows-Systeme, die Secure Boot verwenden, bez\u00fcglich de Zertifikatsablaufs ab Juni 2026 tickt. Aber es gibt wohl H\u00fcrden beim Austausch der Zertifikate mittels Microsoft Updates. Hier einige Informationen zu diesem Thema.<\/p>\n

<\/p>\n

2023 Secure Boot KEK-Update auf Hyper-V VMs<\/h2>\n

\"\"Das erste Problem im Zusammenhang mit dem Austausch der Secure Boot KEK-Eintr\u00e4ge (Key Exchange Key, siehe<\/a>) ist mir \u00fcber nachfolgenden Tweet<\/a> von Frank Lesniak untergekommen.<\/p>\n

\"\"<\/a><\/p>\n

Frank Lesniak verweist auf den detaillierteren auf GitHub Post Missing PK-signed KEK for Hyper-V VM, Microsoft Hyper-V Firmware PK, with Serial<\/a>, wo Gunnar Haslinger das Problem zusammen gefasst hat. Haslinger versucht, das 2023 KEK-Update in einer Microsoft Hyper-V-basierten VM zu installieren, erh\u00e4lt jedoch nur die Fehlermeldung EventID 1795. Dann hat er herausgefunden, dass der Platform Key (PK) seiner VM nicht von folgendem Paket abgedeckt ist:<\/p>\n

\"8058e8cc51749652804bbd6f39aed713d119c64b\": {\r\n        \"KEKUpdate\": \"Microsoft\\\\KEKUpdate_Microsoft_PK1.bin\",\r\n        \"Certificate\": {\r\n            \"serial_number\": 171049019130091589582073331848314912,\r\n            \"issued_to\": \"CN=Microsoft Hyper-V Firmware PK,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US\",\r\n            \"issued_by\": \"CN=Microsoft Corporation Third Party Marketplace PCA,O=Microsoft Corporation,L=Redmond,ST=Washington,C=US\"\r\n        }\r\n    },<\/pre>\n
Die VMs nutzen ein Zertifikat mit einer anderen Seriennummer. Er war nicht in der Lage, bei seinen Hyper-V VMs die Microsoft Updates mit KEK-Zertifikaten zu installieren. Doug Flick von Microsoft schrieb dann in dieser Antwort<\/a>, dass HyperV noch keine KEK-Updates unterst\u00fctzt. Dies werde jedoch in K\u00fcrze (geplant sei M\u00e4rz 2026) der Fall sein und die KEK-Update-Datei m\u00fcsse danach noch aktualisiert werden.<\/p>\n
Erg\u00e4nzung:<\/strong> Der Blog-Beitrag hier wurde vor Tagen auf Vorrat geschrieben. Bereits gestern wurde in Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft<\/a> – Teil 1 die Frage \"Was mache ich in einer virtualisierten Umgebung?\" in diesem Kommentar<\/a> aufgeworfen.<\/p>\n
Leser Fritz schrieb in einem Folgekommentar, dass VMware ab der Version 8.2 bereits die neuen Zertifikate enth\u00e4lt. Proxmox unterst\u00fctzt die neuen Zertifikate ab der Version 9.1.4 (genauer gesagt dem Paket pve-edk2-firmware ab Version 4.2025.05-1).<\/p>\n
peter0815 merkte in diesem Folgekommentar<\/a> ebenfalls an, dass \u00e4ltere Hyper-V Clients derzeit noch nicht der neue Microsoft KEK 2023 hinzugef\u00fcgt werden k\u00f6nnen. Das sei erst f\u00fcr ca. M\u00e4rz 2026 von Microsoft angek\u00fcndigt. Dann werde das Zertifikats-Update es aber automatisch ohne eigenes Zutun beim n\u00e4chsten Starten der VM passieren.<\/p>\n
Problem beim Austausch von Keys bei Dell-Systemen<\/h2>\n
In diesem Kommentar<\/a> zum Artikel\u00a0Windows 11 24H2 \u2013 25H2: Probleme mit Preview Update KB5074105 (29.1.2026)<\/a> erw\u00e4hnt Blog-Leser Tibor Simandi Kallay, dass das betreffende Update auf manchen Rechnern nicht installiert werden kann. Das Update enth\u00e4lt m.W. auch Code, um die Secure Boot-Zertifikatsdateien auszutauschen.<\/p>\n
Am Ende des Tages stellte sich laut diesem Kommentar<\/a> heraus, dass der Austausch der Secure Boot-Zertifikatsdateien bei manchen Dell-Rechnern nicht per Windows Update funktioniert. Der Leser beschreibt einen Workaround, wie er das Update doch noch auf den betreffenden Maschinen installieren konnte.<\/p>\n
Die Erkl\u00e4rung des Lesers f\u00fcr die Installationsprobleme beim oben genannten Update ist, dass Dell, im Gegensatz zu ASUS oder MSI, keine Updates der kritischen SecureBoot-Zertifikate \u00fcber Windows Update l\u00e4sst. Vielmehr bietet Dell f\u00fcr ihre modernen Systeme selbst ein aktualisiertes UEFI BIOS an.<\/p>\n
\u00c4ltere Systeme werden dabei nicht mehr unterst\u00fctzt. Und diese werden dann demn\u00e4chst auch nicht mehr mit aktiviertem SecureBoot und TPM laufen, schrieb der Leser. \u00dcber diesen reddit.com-Tread<\/a> bin ich darauf gesto\u00dfen, dass Dell den Support-Beitrag Microsoft 2011 Secure Boot Certificates Expiration for Out of Scope Platforms for BIOS Updates<\/a> mit einer Liste der Systeme ver\u00f6ffentlicht hat, die bereits das neue Zertifikat haben oder aktualisiert werden k\u00f6nnen. Bei BIOS-Updates f\u00fcr neuere Modelle gibt Dell angeblich in der Beschreibung mit dem Satz \"This BIOS contains the new 2023 Secure Boot Certificates,\" an, wenn das Zertifikat aktualisiert wird.<\/p>\n
Und in diesem reddit.com-Thread<\/a> l\u00e4sst sich jemand \u00fcber das Thema \"Secure Boot KEK Configuration Update 2011-2023 Error\" bei Lenovo-Ger\u00e4ten aus. Es geht dort um die BIOS-Updates, die unter Linux Fehler werfen. Im Thread werden Dell und HP ebenfalls als Problem-Kandidaten genannt. Zu einem bestimmten Update-Problem schreibe ich noch was.<\/p>\n
Sieht mir so aus, als ob das Thema Secure Boot-Zertifikate uns noch eine Weile erhalten bleibt. Administratoren k\u00f6nnen bei Ger\u00e4ten, die per Auto-Patch verwaltet werden, im Intune Admin Center unter Berichte > Windows Autopatch > Windows-Qualit\u00e4tsupdates<\/em> nachsehen. Auf der Registerkarte Berichte<\/em> wird der Status von Secure Boot der Ger\u00e4te angezeigt (via<\/a>).<\/p>\n
Artikelreihe:<\/strong>
\nSecure Boot-Zertifikatswechsel: Ein Playbook von Microsoft<\/a> – Teil 1
\nSecure Boot-Zertifikatswechsel: Es gibt H\u00fcrden beim Austausch<\/a> – Teil 2<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nMicrosofts UEFI Secure Boot-Zertifikat l\u00e4uft im Juni 2026 ab<\/a>
\nAchtung: Microsofts UEFI Zertifikat l\u00e4uft am 19. Okt. 2026 aus \u2013 Secure Boot betroffen<\/a>
\nWindows 10: Chaos beim Austausch neuer Secure Boot-Keys?<\/a>
\nWindows Januar 2026 Update tauscht Secure Boot Zertifikate<\/a>
\nFAQ und Script zur Secure Boot-Absicherung gegen CVE-2023-24932 (Black Lotus)<\/a>
\nWindows und das (BlackLotus) Secure Boot-Desaster: Wie ist bei euch der Status?<\/a>
\nKB5025885: Secure Boot-Absicherung gegen Schwachstelle CVE-2023-24932 (Black Lotus)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
Im Beitrag Secure Boot-Zertifikatswechsel: Ein Playbook von Microsoft – Teil 1 hatte ich ja darauf hingewiesen, dass die Uhr f\u00fcr Windows-Systeme, die Secure Boot verwenden, bez\u00fcglich de Zertifikatsablaufs ab Juni 2026 tickt. Aber es gibt wohl H\u00fcrden beim Austausch der … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[8537,11,426,185,301],"tags":[154,1463,4315,3288],"class_list":["post-321091","post","type-post","status-publish","format-standard","hentry","category-problem","category-problemlosung","category-sicherheit","category-update","category-windows","tag-probleme","tag-secure-boot","tag-update","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321091","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=321091"}],"version-history":[{"count":10,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321091\/revisions"}],"predecessor-version":[{"id":321321,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/321091\/revisions\/321321"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=321091"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=321091"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=321091"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}