Du sollst ein Zertifikat unter Windows installieren, weißt aber nicht wie? Okay. Ich erkläre dir, was ein digitales Zertifikat ist, wie du ein neues Zertifikat in Windows einfügen kannst, wo du den Zertifikatsspeicher findest und warum Microsoft empfiehlt, vor Juni 2026 Zertifikate zu aktualisieren.
Die nachfolgende Anleitung richtet sich an Windows 11-Anwender:innen. Arbeitest du mit Server-Umgebungen, Windows 10 oder älteren Windows-Versionen, können die Angaben abweichen. Probiere es trotzdem aus!
Was ist ein digitales Zertifikat?
Im Unterschied zu Zertifikaten aus Papier, die oft die Echtheit eines physischen Produkts bescheinigen (zum Beispiel einer teuren Markenuhr), handelt es sich bei digitalen Zertifikaten in Bezug auf Computer-Anwendungen um Datensätze, die die Einhaltung bestimmter Anforderungen, Verfahren und Standards nachweisen sollen.
Werden diese Anforderungen vom Aussteller des Zertifikats nicht eingehalten, wird das Zertifikat abgewiesen oder als unsicher eingestuft.
Infolgedessen können Fehlermeldungen oder Sicherheitshinweise erscheinen.
Digitale Computer-Zertifikate für Windows haben meistens die Dateiendung „.crt“ oder „.cer“.
Am häufigsten kommen digitale Zertifikate zum Aufbau einer sicheren TLS-Verbindung über das Internet zum Einsatz, sei es beim Abruf oder Versand von E-Mails oder beim Aufruf von Webseiten. Rufst du zum Beispiel über den Browser eine Internetadresse auf, die nicht mit https, sondern mit http anfängt, wird diese Website als nicht sicher angesehen, da kein digitales Zertifikat integriert wurde. Die Website ist also weder zertifiziert noch verschlüsselt. Aus diesem Grund erscheint ein Warnhinweis, der darauf aufmerksam macht, dass bei Aufruf dieser Website unter Umständen Daten gestohlen oder ausspioniert werden könnten.
Hier ein Beispiel-Warnhinweis bei Aufruf einer unsicheren Website:
Deshalb verfügen die meisten Internetseiten über ein integriertes Web-Zertifikat mit RSA-Verschlüsselung (zum Beispiel von Let’s Encrypt), um Warnhinweise im Browser auszuschließen und sicherzustellen, dass die Eingaben von persönlichen Daten, zum Beispiel in ein Kontaktformular, geschützt sind.
Das nützt aber nichts, wenn nicht auch auf dem (Windows-) Computer die passenden aktuellen (WiFi-) Zertifikate installiert sind.
Warum braucht Windows digitale Zertifikate?
Installierst du Windows auf deinem Computer (oder ist das Betriebssystem schon vorinstalliert), werden automatisch zahlreiche Zertifikate mitinstalliert. Mit der Zeit können über Windows-Updates auch welche dazukommen oder aktualisiert werden.
Digitale Zertifikate ermöglichen Microsoft Windows, die Identität einer Person, eines Programms oder (Netzwerk-) Servers auf Echtheit zu überprüfen.
Programme, die nicht von Microsoft stammen (zum Beispiel Antiviren-, E-Mail-, Foto-, oder Messenger-Apps) müssen gegebenenfalls Zertifikate für Windows mit den Installationsdateien bereitstellen (siehe dazu Programmanforderungen von Microsoft), was üblicherweise der Fall ist.
Um sich gegenüber Microsoft authentifizieren zu können, müssen digitale Zertifikate den Namen des Besitzers und Ausstellers (Person oder Unternehmen), das Gültigkeitsdatum (von-bis) und die Zwecke enthalten, für welche das Zertifikat ausgestellt ist. Darüber hinaus können weitere Angaben in dem Zertifikat gespeichert werden.
Ein gültiges digitales Zertifikat kann beispielsweise so aussehen:
Handelt es sich um ein ungültiges, abgelaufenes oder nicht vertrauenswürdiges Zertifikat, erkennt das Windows mithilfe kryptografischer Codes in der Regel sofort und leitet automatisch entsprechende Schritte ein (gibt eine Fehlermeldung auf der Windows-Oberfläche oder im Browser aus, verweigert die Installation des Zertifikats oder Ähnliches). Um die Code-Integrität zu überprüfen, greift Microsoft auf öffentliche Schlüssel und Zertifikatsvertrauenslisten zurück (siehe Teilnehmerliste von Microsoft).
In der Vergangenheit gab es sogar Fälle, wo abgelaufene Zertifikate dazu geführt haben, dass bestimmte Programme überhaupt nicht mehr nutzbar waren. Solche Probleme werden meist (aber nicht immer) dadurch gelöst, indem Microsoft aktuelle Zertifikate mit den neuesten Windows-Updates zur Verfügung stellt.
Kurz gesagt: Digitale Zertifikate sind wichtig für die Sicherheit und Stabilität deines Computers und bei jedem Schritt im Internet.
Wo findet man Computer-Zertifikate in Windows?
Seit Windows 11 kann man Zertifikate ganz einfach über die Suchfunktion von Windows finden:
- Gebe in das Suchfeld auf der Taskleiste den Begriff Zertifikat ein und es werden dir drei Möglichkeiten angezeigt: Benutzerzertifikate, Dateiverschlüsselungszertifikate und Computerzertifikate verwalten.
- Klicke oder tippe auf die Zeile Computerzertifikate verwalten, wie oben im Bild zu sehen.
- Falls ein Fenster der „Microsoft Management Console“ erscheinen sollte, bestätige die Meldung, indem du auf den Button JA klickst oder tippst.
Nun erscheint ein Fenster mit zwei Spalten namens „certim – (Zertifikate – Lokaler Computer)“. Dabei handelt es sich um den sogenannten Zertifikatsspeicher. Hier findest du alle installierten Zertifikate in den entsprechenden Ordnern.
TIPP: Alternativ kannst du den Zertifikatsspeicher über die Funktion „Ausführen“ und anschließender Eingabe von „certmgr.msc“ aufrufen – das klappt auch mit Windows 10.
Schaue dich im Zertifikatsspeicher ruhig mal in Ruhe um (klicke/tippe auf diverse Zeilen, sodass sich weitere Ordner öffnen).
Du kannst auch die Ansicht nach Belieben anpassen und die Spalten (wie bei Excel) breiter ziehen oder nach oben oder unten hin vergrößern, um mehr zu erkennen.
Keine Bange. Du musst dir nicht merken, was alles für Zertifikate in Windows gespeichert sind. Die vertrauenswürdigen und nicht vertrauenswürdigen Zertifikate ordnet Microsoft Windows im Regelfall alleine und automatisch zu. Aber zumindest weißt du jetzt, wo sich diese befinden. 🙂
Microsoft empfiehlt Updates der Zertifikate vor Juni 2026
Nun ist mir aufgefallen, dass Microsoft mit dem Kumulativen Update KB5063878 für Windows 11 Version 24H2 vom 12. August 2025 Windows-Nutzer:innen darüber informiert, dass „die Secure Boot-Zertifikate, die von den meisten Windows-Geräten verwendet werden, ab Juni 2026 auslaufen“ und erklärt, dass sich dies „auf die Fähigkeit bestimmter persönlicher und geschäftlicher Geräte auswirken kann, sicher zu starten, wenn sie nicht rechtzeitig aktualisiert werden. Um Unterbrechungen zu vermeiden“, empfiehlt Microsoft, „Maßnahmen zu ergreifen, um Zertifikate im Voraus zu aktualisieren.“ (Siehe vollständige Information von Microsoft).
Diese wichtige Information habe ich zum Anlass genommen, einen Artikel inklusive Anleitungen zu Zertifikaten in Windows zu schreiben. Denn wer klickt oder tippt schon nach jedem Windows-Update im Updateverlauf auf „Weitere Informationen“ und liest sich auf der Webseite von Microsoft alles durch (und blickt da auch noch durch).
TIPP: Was man bei Windows-Updates (Windows 11 und 10) beachten sollte und wie man Windows 11/10 bereinigen kann, erkläre ich im Artikel Windows schneller starten und aufräumen ohne Zusatzprogramm.
Nachdem ich mich jedenfalls durch weitere Seiten von Microsoft durchgearbeitet habe und auf den Hinweis gestoßen bin, dass ohne Updates der Zertifikate bei Windows (11)-Geräten mit Secure Boot-Funktion die Gefahr bestehe, dass diese Geräte keine Sicherheitsupdates erhalten, haben bei mir alle Alarmglocken geschrillt.
So bin ich schließlich auf die Webseite „Leitfaden zur Erstellung und Verwaltung von Schlüsseln für Windows Sicherer Start“ von Microsoft gestoßen. Dort befinden sich unter dem Kapitel „1.4 Signaturdatenbanken (Db und Dbx)“ diverse Downloadlinks für Windows UEFI-Systeme.
Zur Information:
- UEFI steht für „Unified Extensible Firmware Interface“ und meint den Nachfolger des BIOS für Windows-PCs. Die UEFI-Oberfläche ist viel moderner gestaltet. Manchmal wird sie auch „UEFI-BIOS“ genannt.
- Prüfen, ob die Secure Boot (Sicherer Start)-Funktion aktiviert ist, kannst du unter Windows-Sicherheit / Gerätesicherheit / Sicherer Start. Bei erfolgreicher Aktivierung wird Folgendes angezeigt: „Der sichere Start ist aktiviert und verhindert das Laden von Schadsoftware beim Starten Ihres Geräts.“
- Sicherer Start ist nur dann aktiviert, wenn im UEFI unter „Booten/Sicheres Booten“ als „Art des Betriebssystems“ der „Windows-UEFI-Modus“ ausgewählt ist (am Beispiel eines ASUS-PCs – auf anderen Marken-Computern können die Angaben abweichen).
- Außerdem muss in Windows unter „Systeminformationen“ der „Sichere Startzustand“ auf EIN geschaltet sein.
Doch zurück zu den Zertifikaten.
Jetzt folgt die Anleitung, wie man von Microsoft empfohlene Zertifikate aktualisieren kann.
Wie man ein Zertifikat in Windows installiert
Am Beispiel des von Microsoft empfohlenen Zertifikats (wie im vorherigen Abschnitt beschrieben) erkläre ich dir Schritt für Schritt, wie du ein Zertifikat auf deinem Windows (11)-Computer installieren kannst, um ab Juni 2026 weiterhin Sicherheitsupdates zu erhalten und damit das Laden von Schadsoftware beim Starten deines Computers verhindern zu können. Alle anderen Zertifikate kann man auf die gleiche Weise installieren.
Auf geht’s.
- Rufe Microsofts Webseite Leitfaden zur Erstellung und Verwaltung von Schlüsseln für Windows Sicherer Start auf.
- Scrolle zum Abschnitt 1.4 Signaturdatenbanken (Db und Dbx), wenn du nach Aufruf der o.g. Webseite nicht automatisch dort hingeführt wirst.
- Scrolle nun zum Unterabschnitt 1. Windows UEFI CA 2023.
Hier ein Screenshot der unter 2. und 3. genannten Abschnitte:
- Klicke oder tippe auf den dort angegebenen Link (siehe obiger Screenshot) und es öffnet sich automatisch ein Fenster.
- Speichere die Zertifikatsdatei windows uefi ca 2023.crt auf deinem Windows-Computer an einer Stelle, wo du sie schnell wiederfinden kannst.
- Navigiere nun im (Datei-) Explorer zu der Stelle, wo du die Zertifikatsdatei abgespeichert hast.
- Tätige einen Rechtsklick auf die Datei und anschließend einen Linksklick im Auswahlmenü auf Zertifikat installieren (manchmal reicht es auch aus, wenn man einfach einen Doppelklick auf die Datei ausführt). Nun öffnet sich der „Zertifikatimport-Assistent“.
- Wähle in dem sich öffnenden Fenster aus, ob das Zertifikat nur für den „Aktuellen Benutzer“ oder für alle Benutzer auf dem „Lokalen Computer“ gelten soll (ich empfehle „Lokaler Computer“ auszuwählen – schließlich soll dieses Zertifikat dazu dienen, die Secure Boot (Sicherer Start)-Funktion sicherzustellen und zu gewährleisten, dass auch ab Juni 2026 Sicherheitsupdates von Microsoft zur Verfügung gestellt werden – das ist für alle Benutzer:innen nützlich und wichtig). Anschließend bestätige deine Auswahl mit Klick/Tipp auf den Button Weiter.
- Falls eine Meldung von Windows erscheint, wie hier zu sehen, bestätige diese mit JA.
- Nun geht es weiter mit dem „Zertifikatimport-Assistent“. Belasse es an dieser Stelle bei der Auswahl „Zertifikatspeicher automatisch auswählen“ und klicke/tippe auf den Button Weiter.
- In dem nächstfolgenden Fenster „Fertigstellen des Assistenten“ klicke/tippe einfach auf den Button Fertig stellen.
- Zuguterletzt erscheint ein kleines Fenster „Der Importvorgang war erfolgreich“. Klicke oder tippe auf den Button OK und das Fenster schließt sich.
- Fast fertig. 🙂
- Nachprüfen, ob das Zertifikat wirklich installiert wurde, kannst du, indem du den Zertifikatsspeicher aufrufst, wie oben im Abschnitt „Wo findet man Computer-Zertifikate in Windows?“ beschrieben. Das Zertifikat mit der Bezeichnung Windows UEFI CA 2023 muss sich unter Zwischenzertifizierungsstellen > im Ordner Zertifikate befinden. (Hinweis: Sollte das Zertifikat beim ersten Aufruf nicht erscheinen, schließe den Zertifikatsspeicher und öffne ihn noch einmal).
- Nachdem das getan ist, muss das Zertfikat „nur noch“ aktiviert werden. Das geht so:
- Rufe den Registrierungs-Editor auf (gebe in das Windows-Suchfeld „regedit“ ohne Anführungszeichen ein, klicke/tippe mit der rechten Maustaste auf „Registrierungs-Editor“ und auf „Als Administrator ausführen“).
- Falls eine Meldung von Windows erscheint, bestätige diese mit Klick/Tipp auf den Button JA.
- Navigiere in dem sich öffnenden Fenster zu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot (gebe den kompletten Pfad einfach ganz oben in die Adresszeile ein und klicke auf Enter).
- Tätige einen Doppelklick in der rechten Spalte auf „AvailableUpdates“ (alternativ klicke/tippe mit der rechten Maustaste auf „AvailableUpdates“ und im Auswahlmenü auf „Ändern“).
- Trage den Wert „40“ (ohne Anführungszeichen) ein und speichere die Eingabe per Klick/Tipp auf den Button OK.
- Schließe den Registrierungs-Editor.
- Lege ein Lesezeichen im Browser an zu meinem Artikel, damit du ihn schnell wiederaufrufen kannst.
- Führe einen Neustart deines Computers aus.
- Fertig. 🙂
Überprüfen kannst du die Aktivierung, indem du in Windows „PowerShell“ (als Administrator ausgeführt) folgenden Befehl eingibst:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
Ist das Zertifikat aktiviert, erscheint in PowerShell der Status „True“.
Gratuliere! Hat alles geklappt, konntest du soeben erfolgreich ein (in diesem Fall sehr wichtiges) Zertifikat in Windows 11 installieren und so zu mehr Sicherheit deines Computers beitragen. Außerdem hast du so ganz nebenbei erfahren, an welchen Stellen man die Secure Boot (Sicherer Start)-Funktion aktivieren kann, für die das beschriebene Zertifikat gedacht ist.
So, das war’s für heute von meiner Seite. Mehr passt nicht rein in diesen Artikel. Ich hoffe, ich konnte dir weiterhelfen und sende dir sommerlich heiße Grüße
Dieser Artikel wurde aktualisiert am 5. November 2025
Namira McLeod. Administratorin und Gründerin von ROCK DEINEN PC (und WP). Arbeit mit WordPress seit 2003, mit Windows und im Internet seit den 1990ern. Alle meine Tipps und Anleitungen sind praxiserprobt, damit du dein Vorhaben möglichst einfach und schnell umsetzen kannst. Helfen sie dir weiter, freue ich mich über einen Obolus. Solltest du andere Erfahrungen gemacht haben, freue ich mich über deinen Hinweis.
Hallo,
gestern habe ich entsprechend diesem Leitfaden das Windows UEFI CA 2023 installiert, welches mir unter ZERTIFIKATE auch angezeigt wird.
Nach Eingabe des Befehls [System.Text.Encoding]::ASCII. GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023‘ in Windows PowerShell (als Admin) wird immer noch FALSE ausgegeben (also nicht installiert).
Willkommen auf ROCK DEINEN PC (UND WP), lieber Michael, und herzlichen Dank für deinen Hinweis! Ich habe die Anleitung jetzt ergänzt (ab Nr. 15) und hoffe, dass ich dir damit weiterhelfen konnte.
danke für die Ergänzung, hat bestens geklappt.
Hallo Namira,
nach dem Eintragen von dem hexadezimalen Wert 40 und einem Systemneustart wird im Windows Event Log folgender Fehler aufgezeichnet:
Event-ID: 1796
Quelle: TPM-WMI
Das Secure Boot-Update konnte eine Secure Boot-Variable mit dem Fehler Falscher Parameter. nicht aktualisieren. Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=2169931 .
Willkommen auf ROCK DEINEN PC (UND WP), lieber Robert, und danke für deine Anfrage.
Der von dir beschriebene Fehler in der Ereignisanzeige ist offenbar seit Windows 22H2 bis 24H2 bekannt.
Ich arbeite derzeit mit Windows 11 Pro 25H2, wo der Fehler nicht aufgetreten ist. Mit welcher Version arbeitest du?
Mein erster Gedanke:
Hast du die „Secure Boot (Sicherer Start)-Funktion aktiviert“, wie in meiner Anleitung beschrieben? Wenn nein, aktiviere sie.
Wenn ja, deaktiviere sie (z.B. stelle in „Systeminformationen“ den „Sichere Startzustand“ auf „AUS“), starte den Computer neu, aktiviere sie wieder, starte den Computer neu und prüfe, ob der Fehler immer noch auftritt.
Hallöchen Namira
Erstmal danke für die tolle Anleitung.
Nun, auf dem ersten Pc einen ASUS PN64 Mini hat das tadellos funktioniert.
Auf dem zweiten ein Laptop Jodabook Classic S17 Clevo Modell NJ70PU hat dies nicht funktioniert.
Dort steht in der Power Shell, False.
Beide Geräte sind aus 2023
Vielen Dank vorab für eine Hilfe.
Mit Lieben Gruß aus Berlin,
Hagen
Willkommen auf ROCK DEINEN PC (UND WP), lieber Hagen. Es freut mich sehr, dass ich dir bei deinem PC weiterhelfen konnte.
Was deinen Laptop angeht, brauche ich mehr Informationen (z.B. Windows-Version, PowerShell-Version), zumal ich im Internet auf die Schnelle nur Jodabook’s finde, auf denen nicht Windows, sondern Linux vorinstalliert wurde.
Und hast du schon einen Blick in meinen Kommentar vom 13.11.2025 bezüglich Secure-Boot geworfen (https://www.rock-deinen-pc.de/zertifikate-in-windows-installieren-fuer-mehr-sicherheit/#comment-90)?
Liebe Grüße in meine Heimat 🙂
Namira
Hallo Namira.
Den Blick in den Kommentar hatte ich schon vorher berfolgt.
Auf dem Jodabook ist Windows 11 25H2 Installiert.
Die Powershell hatte ich auch schon von Version 5.1.26100.7462 auf 7.5.4 aktualisiert.
Der Vorschlag stand schon in der Power Shell 5.1
Aber auch in der neuen PS steht immer nur False.
Was kann ich also noch tun?
Viele liebe Grüße aus deiner Heimat,
Hagen
Danke für deine weiteren Infos, lieber Hagen.
Ich werde heute Abend mal recherchieren und mich danach zurückmelden.
Bis dann …
Da bin ich wieder, lieber Hagen. 🙂
Microsoft hat eine Lösung auf der Webseite https://support.microsoft.com/en-us/topic/windows-configuration-system-wincs-apis-for-secure-boot-d3e64aa0-6095-4f8a-b8e4-fbfda254a8fe bereitgestellt.
Ich übersetze mal:
————————————————–
Man kann die Secure Boot-Wartungsaufgabe manuell auslösen, indem man folgende Schritte ausführt:
Öffne PowerShell als Administrator, gebe nachfolgenden Befehl ein und klicke/tippe auf Enter:
Start-ScheduledTask -TaskName „\Microsoft\Windows\PI\Secure-Boot-Update“
Nachdem der Befehl ausgeführt wurde, schließe PowerShell und starte deinen Computer (in deinem Fall dein Laptop) zwei Mal (!) neu.
Das doppelte Starten soll lt. Microsoft sicherstellen, dass der Computer mit der aktualisierten Datenbank vertrauenswürdiger Signaturen (DB) startet.
Um nun zu überprüfen, ob das Secure Boot DB-Update erfolgreich war, öffne wieder PowerShell als Administrator, gebe nachfolgenden Befehl ein und klicke/tippe auf Enter:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‚Windows UEFI CA 2023‘
Jetzt müsste als Antwort „True“ erscheinen.
————————————————–
Ich selber habe es nicht getestet, daher bin ich gespannt auf deine Antwort.
Liebe Grüße
Namira
Hallo Namira.
Auf der MS Suppürt Seite bin ich nun alle Varianten durchgegangen leider ohne Erfolg.
Immer wieder False in der Power Shell.
Nach der Eingabe von der MS Support Seite stand der Hexalwert in AvailableUpdates im Regedit auf 5944.
Auch nach ändern auf 40 und Neustart, immer nur False in der Power Shell.
Dat wird ne‘ harte Nuss, wa? 🙂
Liebe Grüße,
Hagen
Nachtrag.
Die Clevo Support Seite für das JodaBook Classic S17 (Clevo Modell NJ70PU), endet 2022.
Komischer weise ist meine letzte Biosversion 1.07.06.2023 sowie auch die Treiber auf der mitgelieferten CD sind aktueller als auf der Clevo Homepage.
Gekauft wurde das Gerät 24.10.2023 bei Tradeport und ist ein Intel i7
Lieber Hagen, ich stecke mitten in den Weihnachtsvorbereitungen, bleibe aber dran und melde mich heute Abend/Nacht wieder. Bis dann!
Da bin ich wieder, lieber Hagen. 🙂
Mir ist gerade etwas aufgefallen, was du unbedingt beachten solltest:
Bevor du Befehle in PowerShell ausführst, WARTE NACH JEDEM EINSCHALTEN ODER NEUSTART des Computers/Laptops, bis Windows-Sicherheit vollständig geladen ist! D.h., rufe Windows-Sicherheit auf, klicke/tippe auf „Viren- und Bedrohungsschutz“ und im nächsten Fenster rechts auf „Anbieter verwalten“ und warte, bis Antivirus und Firewall aktiviert sind (das kann manchmal ein paar Minuten dauern).
Andernfalls zeigt PowerShell immer „False“ oder Fehlermeldungen als Antwort an.
Als Nächstes kannst du wie folgt vorgehen:
Um zu überprüfen, ob Secure Boot (dt.: Sicherer Start) aktiv ist, öffne PowerShell als Administrator und gebe den Befehl ein:
Confirm-SecureBootUEFI
Die Antwort muss „True“ lauten.
Oder: Öffne PowerShell als Administrator und gebe folgenden Befehl ein:
Get-ItemProperty -Path hklm:\System\CurrentControlSet\Control\SecureBoot\State | Select-Object UEFISecureBootEnabled
Wird dir unter der grünen Zeile „UEFISecureBootEnabled“ eine „1“ angezeigt, ist alles okay und der Sichere Start aktiviert.
Lautet die Antwort „False“ oder „0“, muss im UEFI bzw. UEFI-BIOS noch Secure Boot aktiviert werden, wie von mir beschrieben (siehe im Artikel auf dieser Seite die Zeile „Sicherer Start ist nur dann aktiviert, wenn …“).
Sodann kannst du wie folgt vorgehen:
Prüfe, ob in Windows-Sicherheit unter „Gerätesicherheit“ der „Sicherheitschip (TPM)“ vorhanden und „Sicherer Start“ aktiviert sind.
Prüfe, ob in Windows-Sicherheit unter „Gerätesicherheit“ / „Details zu Kernisolierung“ alle Hebel auf „EIN“ stehen. Sollte das nicht der Fall sein, stelle sie alle auf „EIN“.
Gebe ins Windows-Suchfeld „Systeminformationen“ ein, öffne diese als Administrator, und prüfe, ob in der Zeile „BIOS-Modus“ der Wert „UEFI“ steht, und ob in der Zeile „Sicherer Startzustand“ der Wert „EIN“ steht, und ob in der Zeile „Kernel-DMA-Schutz“ der Wert „AUS“ steht.
Um sicherzugehen, dass dein Laptop auf dem neuesten Stand ist, führe alle 10 Schritte aus, wie in meinem Artikel https://www.rock-deinen-pc.de/meine-morgendliche-10-schritte-routine-am-windows-computer/ beschrieben.
Wenn alles nichts hilft, solltest du noch prüfen, ob die Festplatte deines Laptops in „GPT“ partitioniert ist (siehe Abschnitt „Methode 1. MBR oder GPT mit CMD prüfen“ unter https://www.diskpart.com/de/gpt-mbr/mbr-oder-gpt-pruefen.html). Das ist – genau wie alles von mir Beschriebene – Voraussetzung, um Secure Boot aktivieren zu können.
Ist die Festplatte noch im alten „MBR“-Stil partioniert, muss diese unbedingt in „GPT“ konvertiert werden. (Aber Vorsicht, dabei können alle Daten verloren gehen! Daher sollte man vorher unbedingt ein Backup aller Daten machen!).
Liebe Grüße
Namira
Hallo liebe Namira.
Vielen Dank für deine wundervolle Mühe aber False bleibt False. 🙁
Zu Punkt 1: Natürlich warte ich immer ab, bis Windows alles geladen hat.
Kontrolliere zwar nicht immer in der Windows Sicherheit, aber mit kontrolle steht nach Eingabe in der PS, False
Punkt 2: Bei der Eingabe als Admin in der PS Confirm-SecureBootUEFI steht bei mir auch „True“
Punkt 3: Der Befehl Get-ItemProperty -Path hklm:\System\CurrentControlSet\Control\SecureBoot\State
| Select-Object UEFISecureBootEnabled wird mir die „1“ angezeigt und in
Windows Sicherheit/Gerätesicherheit ist TPM sicherer Start aktiviert.
In der Kernisolierung war Hardware-geschützter Stapelschutz im Kernel-Modus aus aus gestellt.
Habe ich eingeschaltet.
In der Systeminformation als Admin ist im Bios Modus „UEFI“ zu finden, der sicherer Startzustand
ist „Ein“ und der Kernel DMA Schutz steht bei mir auf „Ein“
So stand’s allerdings schon nach UEFI umstellung im BIOS.
Punkt 4: Updates werden bei mir regelmäßig per Hand durchgeführt außer die im MS Store.
Sind aber auch aktuell.
Die Windows Bereinigung mache ich 1mal im Monat also auch aktuell.
(… dieser Text wurde gekürzt …)
Was mich an dieser Stelle immer wieder stutzig macht,
dass sich immer wieder der Hexalwert im Regeditor als Admin ausgeführt,
(… dieser Text wurde gekürzt …)
auf 5944 stellt anstatt auf 40 wie von dir angegeben zu bleiben?
Was veranlasst diese Umstellung in der Registry?
Ich wünsche noch einen wunderschönen 4, Advent mit lieben Grüßen aus Berlin,
Hagen
Nachtrag:
Im ASUS PN64 wo deine Anleitung einwandfrei funktionierte steht der Hexalwert in AvailableUpdates auch wieder auf 4000 wie vorher, nach eingabe auf 40.
Also kann’s daran nicht liegen.
Hallölle Namira
Hier noch eine Fehlermeldung aus der Ereignissanzeige.
Fehler TPM-WMI 1797
in der steht,
Dieses Ereignis wird bei dem Versuch protokolliert, das Microsoft Windows Production PCA 2011-Zertifikat der UEFI-Datenbank für unzulässige Signaturen (Secure Boot Forbidden Signatures, DBX) hinzuzufügen.
Vor dem Hinzufügen dieses Zertifikats zum DBX wird überprüft, ob das Windows UEFI CA 2023-Zertifikat der UEFI Secure Boot Signature Database (DB) hinzugefügt wurde. Wenn die Windows UEFI CA 2023 der Datenbank nicht hinzugefügt wurde, schlägt Windows das DBX-Update absichtlich fehl. Dies geschieht, um sicherzustellen, dass das Gerät mindestens einem dieser beiden Zertifikate vertraut, wodurch sichergestellt wird, dass das Gerät Startanwendungen vertraut, die von Microsoft signiert wurden.
Beim Hinzufügen von Microsoft Windows Production PCA 2011 zum DBX werden zwei Überprüfungen durchgeführt, um sicherzustellen, dass das Gerät weiterhin erfolgreich gestartet wird: 1) Stellen Sie sicher, dass Windows UEFI CA 2023 zur Datenbank hinzugefügt wurde, 2) Stellen Sie sicher, dass die Standardstartanwendung nicht vom Microsoft Windows Production PCA 2011-Zertifikat signiert ist.
Informationen zum Ereignisprotokoll
(… dieser Text wurde gekürzt …)
Fehlermeldungstext
Das Dbx-Update für den sicheren Start konnte Microsoft Windows Production PCA 2011 nicht widerrufen, da das Windows UEFI CA 2023-Zertifikat nicht in der Datenbank vorhanden ist.
In Zertifikate ist Windows UEFI CA 2023 aber vorhanden.
Dann gibt’s noch einen Fehlercode 1802
hier steht,
(… dieser Text wurde gekürzt …)
Noch einen schönen Rest 4. Advent
Lieben Gruß, Hagen
Lieber Hagen, vielen Dank für deine netten Adventsgrüße und weiteren Infos, die ich Schritt für Schritt durchgegangen bin.
Du schreibst, dass in den Systeminformationen der Kernel DMA Schutz bei dir auf „Ein“ steht. Stelle ihn bitte auf AUS (denn Kernel DMA Schutz und Sicherer Start „vertragen“ sich nicht lt. Microsoft).
Du schreibst: dass sich immer wieder der Hexalwert im Regeditor als Admin ausgeführt auf 5944 stellt anstatt auf 40 wie von dir angegeben zu bleiben? Das ist völlig normal (wie du ja auch schon selbst festgestellt hast).
Das ist eine wichtige Information von dir: „Das Dbx-Update für den sicheren Start konnte Microsoft Windows Production PCA 2011 nicht widerrufen, da das Windows UEFI CA 2023-Zertifikat nicht in der Datenbank vorhanden ist.“
Offenbar kann auf deinem Laptop bisher nur das alte Zertifikat von 2011 gebootet werden.
(… dieser Text wurde gekürzt …)
Ich wünsche dir auf alle Fälle angenehme Weihnachtsfeiertage.
Liebe Grüße
Namira
Hallo Namira.
Durch Weihnachten war ich auch etwas gestresst und konnte nicht weiter machen an dem JodaBook.
Knackpunkt war, ich hatte Tradeport angeschrieben und mein Dilemma geschildert, die waren auch heute sofort zur Stelle, haben eine neue Bios Version von dem Teil rübergeschickt und eine Anleitung, wie ich aus dem BIOS
die SecureBootRecover.efi Starte in der eigentlich schon die CA 2023 hinterlegt sein sollen.
Gesagt getahn und was soll ich sagen, nach der Eingabe in Power Shell kam nun endlich True.
Ich hab dir viel zu verdanken und freue mich auch über die Lehrstunden und wünsche nun einen guten Rutsch in 2026.
Mit gaaanz lieben Grüßen aus Berlin,
Hagen 🙂
Oh wie schön, dass du das Windows-Zertifikats-Problem mithilfe des Händlers lösen konntest, und Danke, dass du die Lösung auf meinem Blog teilst, lieber Hagen.
Sodann wünsche ich auch dir einen guten Rutsch und ein großartiges, gesundes Jahr 2026, das rockt! 🎸
Janz liebe Grüße aus der kleenen Stadt am Rande des „Porta Kaisers“ in die große Stadt mit dem Bären mit Herz,
Namira
Suuuper,
endlich mal die richtige Kurzanweisung!
Danke 👍!
Herzlichen Dank für deinen Kommentar, Flensiene! Es freut mich riesig, dass ich dir weiterhelfen konnte.