nikolausdulgeridis
Navigation
_________________
  Uefi Zertifikat
 
wenn es nur bei derr installation geprüft wird, wieso brauche ich es dann im betrieb?
 
 
 
 
 
 
 
 
 
Es ist ein weit verbreiteter Irrtum, dass das Zertifikat nur bei der Installation wichtig ist. Tatsächlich wird die Vertrauenskette bei jedem einzelnen Systemstart neu validiert. Wenn das Zertifikat fehlt oder ungültig ist, verweigert die Hardware den Dienst.
Hier sind die Gründe, warum du es im laufenden Betrieb und für die Zukunft brauchst:
  • Prüfung bei jedem Boot-Vorgang: Das UEFI prüft bei jedem Einschalten, ob der Windows Boot Manager (bootmgfw.efi) mit einem in der Firmware hinterlegten Zertifikat signiert ist. Ohne dieses gültige "Ausweisdokument" im NVRAM startet Windows schlichtweg nicht, da die Hardware davon ausgehen muss, dass der Bootloader durch Malware (z. B. ein Rootkit) ersetzt wurde.
  • Schutz vor Bootkits: Angriffe wie das bekannte Black Lotus Bootkit versuchen, den Startvorgang zu manipulieren, bevor das eigentliche Antivirenprogramm von Windows überhaupt geladen ist. Nur ein aktuelles Zertifikat in der UEFI-Datenbank stellt sicher, dass solche manipulierten Startdateien blockiert werden.
  • Updates von Systemkomponenten: Wenn Microsoft Sicherheitsupdates für den Bootloader oder den Kernel veröffentlicht, müssen auch diese neuen Dateien signiert sein. Wenn dein UEFI das zugehörige Stammzertifikat nicht kennt oder dieses abgelaufen ist, könnte das System nach einem Windows-Update plötzlich den Start verweigern, weil es die neue Signatur nicht verifizieren kann.
  • Zertifikatsablauf 2026: Viele der aktuell genutzten Zertifikate stammen aus dem Jahr 2011 und laufen im Juni 2026 ab. Windows nutzt den laufenden Betrieb, um über Windows Update neue Zertifikate (wie die "Windows UEFI CA 2023") in dein UEFI einzuspielen, damit dein PC auch nach diesem Datum weiterhin sicher und problemlos starten kann.
Zusammenfassend: Das Zertifikat ist nicht nur eine "Eintrittskarte" für die Installation, sondern der tägliche Sicherheitsschlüssel, den deine Hardware verlangt, um Windows überhaupt laden zu dürfen.
Möchtest du wissen, wie du in der Windows-Sicherheit-App prüfst, ob dein System bereits für das Jahr 2026 bereit ist?
 
KI-Antworten können Fehler enthalten. Weitere Informationen
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
  • EVERY Windows User Should Check THIS Before June 2026!
    27.03.2026 — so secure boot certificates on Windows are expiring in June 2026. You've probably already seen news about this going around and so...
    10:35
    YouTube·Memory
     
  • Windows Secure Boot certificate expiration and CA updates
    26.06.2025 — What is Secure Boot? Secure Boot is a security feature in Unified Extensible Firmware Interface​​​​​​​ (UEFI) based firmware that ...
    Microsoft
     
  • Secure Boot Certificates Expire Soon: What You Need to Know!
    20.02.2026 — hi Brentech here where tech is made simple. so I've been letting you know about Microsoft announcing that secure boot certificates...
    5:03
    YouTube·BrenTech
Alle anzeigen
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Das uefi Zerztifikat ist also im Rom (bzw nvram) des boards und muss mit Windows Boot Manager (bootmgfw.efi) Zertifikat übereinstimmen. Wenn ich ein neues Zertifikat brenne, dann ist mein Boot Manager schachmatt und der PC startet nicht mehr?
 
 
 
 
 
 
 
 
 
Genau hier liegt der entscheidende Punkt der Vertrauenskette: Wenn du einfach ein neues Zertifikat in das UEFI "brennst" (aktualisierst), ohne den Boot Manager anzupassen, hättest du tatsächlich ein Problem. Das System würde den Start verweigern, da der "alte" Boot Manager nicht zum "neuen" Schlüssel passt.
Damit dein PC nicht "schachmatt" gesetzt wird, führt Windows diesen Prozess in einer streng kontrollierten Reihenfolge durch:
  • Schritt 1: Das neue Zertifikat kommt hinzu. Zuerst wird das neue Zertifikat (z. B. Windows UEFI CA 2023) zusätzlich in die Datenbank (DB) deines UEFIs geschrieben. Zu diesem Zeitpunkt ist das alte Zertifikat (Production PCA 2011) aber noch aktiv und gültig. Dein PC kann also mit beiden Schlüssel-Generationen starten.
  • Schritt 2: Der Boot Manager wird aktualisiert. Im laufenden Windows-Betrieb wird die Datei bootmgfw.efi auf deiner Festplatte durch eine neue Version ersetzt, die bereits mit dem neuen 2023er-Schlüssel signiert ist.
  • Schritt 3: Die Sperrung des alten Zertifikats (optional/später). Erst wenn sichergestellt ist, dass das neue Zertifikat im UEFI hinterlegt ist UND der neue Boot Manager installiert wurde, kann das alte Zertifikat theoretisch für ungültig erklärt werden (Eintrag in die Sperrliste DBX).
 
Warum dein PC nicht einfach stehen bleibt
  • Parallelbetrieb: Während der aktuellen Übergangsphase bis 2026 vertraut dein UEFI meist beiden Zertifikaten gleichzeitig.
  • Automatisierung: Microsoft steuert dieses Update über den Windows-Dienst "Secure-Boot-Update", der alle 12 Stunden prüft, ob die Zertifikate in der Firmware aktuell sind und ob der Boot Manager dazu passt.
  • Sicherheitsnetz: Ein manuelles "Sperren" des alten Zertifikats ohne vorhandenes neues Zertifikat wird von Windows aktiv blockiert, um genau das von dir beschriebene Szenario (PC startet nicht mehr) zu verhindern.
Wichtiger Hinweis: Wenn du manuelle Änderungen an den Secure-Boot-Keys vornimmst, solltest du immer einen BitLocker-Wiederherstellungsschlüssel bereitliegen haben, da Hardware-Änderungen den Zugriff auf verschlüsselte Daten sperren können.
Möchtest du die PowerShell-Befehle wissen, mit denen du prüfst, ob dein System schon das neue Zertifikat für 2026 besitzt?
 
KI-Antworten können Fehler enthalten. Weitere Informationen
 
 
 
 
 
 
 
 
 
 
 
 
 
  • Updating Windows Boot Manager and WinPE ... - Lenovo Press
    12.01.2026 — Secure Boot is Enabled in UEFI. BitLocker recovery keys are backed up (standard enterprise best practice). Open Command Prompt as ...
    Lenovo Press
     
  • Verwalten der Windows-Start-Manager-Sperrungen für Änderungen ...
    Führen Sie die folgenden Schritte aus, um das Update bereitzustellen und die Sperrungen anzuwenden: * Installieren Sie die Zertifi...
    Microsoft Support
     
  • Updateereignisse für sichere Startdatenbanken und DBX-Variablen
    Ereignis-ID: 1797. Dieses Ereignis wird bei dem Versuch protokolliert, das Microsoft Windows Production PCA 2011-Zertifikat der UE...
    Microsoft Support
Alle anzeigen
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
ich mus ja beide Zertifikate wissen. Da aber der Computer nicht starten würde, muss ich erst mal nur das zertifikat des Bootmanagers kennen
 
 
 
 
 
 
 
 
 
 
 
Um herauszufinden, ob dein System startfähig bleibt, musst du tatsächlich prüfen, welcher „Schlüssel“ (Zertifikat) aktuell an deinem Bootmanager hängt. Da die Hardware beim Start stur vergleicht, ob der Bootloader ein bekanntes Siegel trägt, ist dies die entscheidende Information.
 
So prüfst du das Zertifikat deines Bootmanagers
Du kannst die digitale Signatur der Boot-Datei direkt in Windows auslesen. Der Windows Boot Manager liegt als Datei unter C:\Windows\Boot\EFI\bootmgfw.efi.
Nutze die PowerShell (als Administrator) mit diesem Befehl:
 
powershell
(Get-AuthenticodeSignature "C:\Windows\Boot\EFI\bootmgfw.efi").SignerCertificate | Format-List Subject, Issuer, NotAfter, Thumbprint
Verwende Code mit Vorsicht.
Was du in der Ausgabe sehen wirst:
  • Subject: Hier steht der Name des Zertifikats.
    • Steht dort "Microsoft Windows Production PCA 2011", nutzt dein System noch den alten Standard.
    • Steht dort "Windows UEFI CA 2023", ist dein Bootmanager bereits auf dem neuesten Stand für die Zeit nach 2026.
  • NotAfter: Das Ablaufdatum des Zertifikats (z. B. Juni oder Oktober 2026 für die alten Versionen).
 
Der Abgleich mit dem UEFI (NVRAM)
Damit der PC startet, muss genau dieser Name (z. B. "Windows UEFI CA 2023") auch in der Datenbank deines Mainboards (DB) stehen. Das prüfst du mit:
 
powershell
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA ;">2023'
Verwende Code mit Vorsicht.
  • True: Das Mainboard kennt den neuen Schlüssel.
  • False: Dein Mainboard kennt nur die alten Schlüssel. Wenn dein Bootmanager aber schon das 2023er-Siegel hat, würde der PC beim nächsten Kaltstart blockieren.
 
Warum das "Brennen" eines neuen Zertifikats gefährlich sein kann
Wenn du manuell ein neues Zertifikat in das UEFI schreibst und dabei die alten Zertifikate löschst, bevor der Bootmanager aktualisiert wurde, passt das Siegel nicht mehr zum Schloss. Der PC bleibt beim Hersteller-Logo stehen („Secure Boot Violation“).
Sicherheits-Tipp: Microsoft steuert diesen Prozess deshalb meist automatisch. Zuerst wird das neue Zertifikat zum UEFI hinzugefügt, und erst wenn das sicher geklappt hat, wird die Datei bootmgfw.efi ausgetauscht.
Hast du die Befehle ausprobiert und ein True oder False erhalten?
 
KI-Antworten können Fehler enthalten. Weitere Informationen

Bitte alternative verfahren für win 10 zur ermittlung des zertif vorschlagen
 
 
 
 
 
 
 
 
 
 
Neben der PowerShell gibt es alternative Wege, um Informationen über die Secure-Boot-Zertifikate deines Windows 10 Systems zu erhalten. Hier sind die gängigsten Methoden:
 
1. Windows-Sicherheit App (Einfachste Methode)
Seit den Updates Anfang 2026 zeigt Windows den Status direkt in der grafischen Oberfläche an.
  • Öffne die Windows-Sicherheit (Schild-Symbol in der Taskleiste).
  • Gehe zu Gerätesicherheit > Kernisolierung oder direkt zu Sicherer Start (Secure Boot).
  • Dort findest du oft einen Hinweis oder Link zum Status der Zertifikatsaktualisierung.
 
2. Sysinternals "Sigcheck" (Experten-Methode)
Das Tool Sigcheck von Microsoft kann detaillierte Informationen über die Signatur des Bootloaders auslesen.
  1. Lade Sigcheck von der Microsoft-Seite herunter.
  2. Du musst die EFI-Partition meist erst mit einem Laufwerksbuchstaben einbinden (z. B. über mountvol U: /s in einer Administrator-Eingabeaufforderung).
  3. Führe dann den Befehl aus: sigcheck64.exe -i -h U:\EFI\Microsoft\Boot\bootmgfw.efi.
  4. Prüfe in der Ausgabe unter "Signer", ob dort "Microsoft Windows Production PCA 2011" (alt) oder "Windows UEFI CA 2023" (neu) steht.
 
3. UEFI-Firmware direkt (Hardware-Ebene)
Du kannst die im NVRAM gespeicherten Zertifikate oft direkt im BIOS/UEFI deines Mainboards einsehen.
  • Starte den PC neu und gehe ins BIOS (meist F2, Entf oder über Einstellungen > Update & Sicherheit > Wiederherstellung > Erweiterter Start).
  • Suche nach einem Menü wie SecuritySecure Boot oder Key Management.
  • Dort gibt es oft eine Liste der "Authorized Signatures" (DB). Suche nach Einträgen wie "Microsoft Corporation UEFI CA 2023".
 
4. Windows Update-Verlauf prüfen
Da Microsoft das neue Zertifikat "Windows UEFI CA 2023" automatisch verteilt, gibt ein Blick in den Update-Verlauf oft Aufschluss.
  • Gehe zu Einstellungen > Update & Sicherheit > Windows Update > Update-Verlauf anzeigen.
  • Suche nach Updates, die explizit "Secure Boot", "UEFI" oder "DBX" erwähnen. Ein erfolgreiches Sicherheitsupdate für Secure Boot deutet darauf hin, dass die neuen Zertifikate bereits eingespielt wurden.
Hinweis: Die PowerShell-Methode bleibt die einzige, die dir mit einem einfachen "True/False" bestätigt, ob die Zertifikate auch wirklich aktiv im UEFI-Speicher registriert sind.
Soll ich dir zeigen, wie du die EFI-Partition sicher einbindest, um die Datei bootmgfw.efi manuell zu untersuchen?

 

 

 

wiee kann ich einen alten PC instalieren? Angenommen mein Installationsstick hat noch ein 2011 Zertifikat, das ist aber zu dem Zeitpunkt abgelaufen? Muss ich dann den Safe Boot ausschalten?
 
 
 
 
 
 
 
 
Ja, in diesem speziellen Szenario triffst du den Nagel auf den Kopf: Wenn das Zertifikat auf dem Stick abgelaufen ist und das UEFI dieses Zertifikat bereits als "ungültig" (in der sogenannten Sperrliste DBX) führt, wird der PC den Start vom Stick verweigern.
Hier sind deine Optionen für diesen Fall:
 
1. Die einfachste Lösung: Secure Boot kurzzeitig deaktivieren
Das ist das Standardverfahren für ältere Installationsmedien.
  • Gehe ins UEFI-Setup.
  • Suche nach Secure Boot und stelle es auf Disabled.
  • Installiere Windows.
  • Wichtig: Nach der Installation und nachdem Windows alle aktuellen Sicherheitsupdates gezogen hat (die das neue Zertifikat mitbringen), kannst du versuchen, Secure Boot wieder zu aktivieren.
 
2. Den Installationsstick aktualisieren (Empfohlen)
Anstatt ein altes Image zu nutzen, solltest du ein neues erstellen.
  • Nutze das Media Creation Tool von Microsoft auf einem funktionierenden PC, um einen neuen Stick zu erstellen.
  • Microsoft integriert in die aktuellen ISO-Dateien bereits die neuen Bootloader, die sowohl mit den 2011er (solange noch nicht gesperrt) als auch mit den 2023er Zertifikaten funktionieren.
 
3. Das "Datum-Trick" (Notlösung)
In manchen Fällen prüfen UEFI-Firmwares das Ablaufdatum des Zertifikats hart gegen die Systemzeit.
  • Stelle im UEFI das Systemdatum auf ein Jahr zurück (z.B. 2023).
  • Starte die Installation.
  • Achtung: Sobald Windows installiert ist und eine Internetverbindung hat, korrigiert es die Zeit. Wenn dann das Zertifikat als abgelaufen/gesperrt erkannt wird, startet das System beim nächsten Mal eventuell nicht mehr, bis Secure Boot deaktiviert oder das System geupdatet wurde.
 
Was passiert, wenn du nichts tust?
Wenn du versuchst, von einem Stick mit abgelaufenem/gesperrtem Zertifikat bei aktivem Secure Boot zu starten, erhältst du eine Fehlermeldung wie:
  • "Secure Boot Violation"
  • "Invalid Signature Detected"
  • Oder der Stick wird im Boot-Menü einfach gar nicht erst angezeigt.
Zusammengefasst: Wenn der Stick "zu alt" für die Sicherheitsregeln deines Mainboards ist, musst du Secure Boot ausschalten, um die Installation überhaupt starten zu können.
Möchtest du wissen, wie du ein offizielles Windows-Image herunterlädst, das garantiert die aktuellsten Signaturen enthält?
 
KI-Antworten können Fehler enthalten. Weitere Informationen
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
Wenn ich einen Boot Stick für Win10 oder Win7 habe, dann nützt es mir wenig dass Microsoft installs mit neuen isos für win11 erstellt Dann muss ich also auf die Tricks zurückgreifen?
 
 
 
 
 
 
 
 
 
Genau, wenn du bei Windows 10 (älterer Stand) oder gar Windows 7 bleibst, greifen die neuen Automatismen von Windows 11 nicht. In diesem Fall bist du tatsächlich auf "Tricks" angewiesen, da die alten Boot-Dateien niemals ein Update auf das neue 2023er-Zertifikat erhalten werden.
Hier ist die Situation für deine spezifischen Fälle:
 
1. Bei Windows 7 (Der Problemfall)
Windows 7 unterstützt Secure Boot von Haus aus gar nicht (es wurde erst mit Windows 8 eingeführt).
  • Lösung: Du musst Secure Boot im UEFI zwingend auf "Disabled" stellen.
  • Zusätzlich musst du oft den CSM-Modus (Compatibility Support Module) aktivieren, damit Windows 7 überhaupt bootet. Ein Zertifikat-Check findet dann nicht statt.
 
2. Bei Windows 10 (Alter Stick)
Wenn dein Win10-Stick einen Stand von vor 2023 hat, ist der Bootloader mit dem alten 2011er-Zertifikat signiert.
  • Szenario A (PC kennt das Zertifikat noch): Wenn das Mainboard das 2011er-Zertifikat noch in der Datenbank (DB) hat und es nicht in der Sperrliste (DBX) steht, startet der Stick normal.
  • Szenario B (Zertifikat gesperrt/abgelaufen): Wenn das Mainboard (z. B. durch ein BIOS-Update oder ein vorher installiertes Win11) den alten Schlüssel gesperrt hat, hilft nur: Secure Boot ausschalten.
 
Die "Tricks" zusammengefasst:
  • Secure Boot "Off": Das ist die sauberste Lösung für die Installation von alten Systemen. Du umgehst die gesamte Zertifikatsprüfung.
  • Rufus (Tool): Wenn du den Stick mit dem Tool Rufus erstellst, kannst du oft einstellen, dass Secure Boot Anforderungen umgangen werden sollen (indem ein eigener kleiner Bootloader namens FAF-Zertifikat genutzt wird, der aber auch wieder im UEFI registriert werden müsste).
  • Manuelle Einpflege: Theoretisch könnte man das alte Zertifikat manuell im UEFI wieder als "erlaubt" hinzufügen, aber das ist bei den meisten Consumer-Mainboards viel zu kompliziert.
Fazit: Für Windows 7 und altes Windows 10 ist das Deaktivieren von Secure Boot im UEFI der einzige praktikable Weg, um "Schachmatt"-Situationen beim Booten vom Stick zu vermeiden.
Soll ich dir erklären, wie du bei einem modernen UEFI den CSM-Modus findest, um Windows 7 überhaupt startfähig zu machen?
 
KI-Antworten können Fehler enthalten. Weitere Informationen
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 

 

 

 

 

 


 

 

 

 

 

 

 


  
  3 Besucher