0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@qiitamatumoto

(個人的メモ)SecureBoot証明書失効関連のメモ

0
Last updated at Posted at 2026-05-18

SecureBoot証明書失効関連のメモ

個人的メモなので、内容を信じてはいけない。

1. 総論

1.1. Impress

1.2. Microsoft

2026 年 4 月以降WindowsUpdate後、SecureBoot証明書の更新状況が確認できる。状態は下記ページ参照

1.3. 仮想環境補足

VmwareESXiのホスト側のSecureBootが無効であっても仮想OS側のSecureBootが有効な場合がある。

1.4. 実体験した重要案件

SecureBootを無効化する場合はBitLockerを無効にしなさいという話は各所にかかれています。

よくわからないが、2026年5月に、手元にあるSecureBootが有効なWindows11だが、BitLockerが無効なんだけど、BIOSでSecureBootを無効にしたら起動しなくなった(´・ω・`) なお、SecureBootを有効にしたら立ち上がるようになった。ごくまれによくわからない事が起きる事があるので、事前に試した方がよい。

1.5. Linuxも関係あるのか?

LinuxのBoot loaderのgrubがMicrosoftの証明書で署名してあるので、関係ある。

2. Microsoft公式文章

2.1. 総論

2.2. FAQ

2.3. 証明書ダウンロード

以下に全部置いてある。

3. OS側のメモ

3.1. Microsoft

本ページの頭に記載の一般向けの方法も参照。

SecureBootが有効か無効か。
コマンド「msinfo32」のシステム要約の「セキュアブートの状態」で確認可能。

SecureBootの証明書の導入状況

抜粋
PowerShellで以下が全てTrueになれば良い。

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

3.2. 更新プロセスの詳細

MEMO:上記の「How updates are deployed」にあるが各証明書は12時間ごとに更新されるみたい。

デフォルトの12時間ごとではなく、手動で更新する方法

3.2. RedHat

抜粋
dnf install mokutil
mokutil --sb-state # SecureBootが有効か
mokutil --db|grep "UEFI CA 2023" # 証明書が入ってるか

3.3. Ubuntu

https://www.reddit.com/r/linux/comments/1m69s94/linux_and_secure_boot_certificate_expiration/?tl=ja
TITLE: Linux and Secure Boot certificate expiration

抜粋
apt install efitools
mokutil --sb-state # SecureBootが有効か
mokutil --db|grep "UEFI CA 2023" # 証明書が入ってるか
efi-readvar -v db |grep "UEFI CA 2023" # 証明書が入ってるか

詳細資料

MEMO:OSにインストールされているGRUBやカーネルがSecureboot証明書で署名されているということだが、現在のGRUBやカーネルが署名されているかいなかの確認方法はよくわからない。

3.4. Vmware ESXi

詳しい。
https://blogs.vmware.com/vmware-japan/2026/04/secureboot.html

上記関連文章

HPの資料だが、VmwareESXiの状態確認方法が詳しい

Securebootを有効か無効か
/usr/lib/vmware/secureboot/bin/secureBoot.py -s

Securebootを有効にできるかできないか。
/usr/lib/vmware/secureboot/bin/secureBoot.py -c

4. サーバやPCの製造業者

4.1. Dell

対応PC

MEMO:職場のPCいろいろ試したら、Optiplex7060は対応BIOS未提供。Optiplex7070は提供みたい。

対応サーバ

MEMO:職場のサーバいろいろ試したらDell R430は対応BIOS未提供。R440は提供みたいです。

MEMO:IDRAGとBIOSはどちらを先に更新すべきか?

よくわからない。IDRAGを先に更新後、BIOSを更新したがうまくいった。IDRAG更新はWebインターフェースから行った。BIOS更新はUSBメモリからから行った。

4.2. HP

https://support.hp.com/jp-ja/document/ish_13070367-13192105-16
TITLE: HPビジネスPC - 新しいWindowsセキュアブート証明書に向けて準備する

BIOS更新してもBIOSに新しい証明書が見えない。

MEMO:BIOSでdefaultを呼び出せばよいみたいだが、副作用はよくわからないので、要注意。

MEMO:ILOとBIOSはどちらを先に更新すべきか?

よくわからない。ILOを先に更新後、BIOSを更新したがうまくいった。ILOおよびBIOSいずれもWebインターフェースから更新行った。

4.3. EPSON

Secureboot更新された証明書入りBIOS更新予定表
https://www.epsondirect.co.jp/support/sp/secure/

4.4. Fujitsu

5. Blog等

https://www.reddit.com/r/sysadmin/comments/1sgkain/secure_boot_2026_certificate_rollout_stuck_on/?tl=ja
Title: Secure Boot 2026 certificate rollout stuck on VMware VMs

https://www.reddit.com/r/sysadmin/comments/1rle6m9/updating_secure_boot_kek_on_azure_virtual_machine/?tl=ja
TITLE: Updating Secure Boot KEK on Azure Virtual Machine

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?