Scadenza certificato avvio protetto win11

ruzzino · 3 Dicembre 2025

Ciao, come da procedura Microsoft ho aggiornato a CA2023, aggiornato boot manager e messo nella lista deprecati la versione 2011.
Tutto ok il PC si avvia regolarmente.
Nel BIOS non so' esattamente come procedere, se va' già bene così o ci sono da fare modifiche.
Selezionando custom in secure boot, in dettagli ho visto che c'è il CA2023 ma c'è anche il 2011.
Non e' che và impostato su 2023 in qualche modo per allinearlo alla nuova firma digitale del sistema operativo?

Blume. · 3 Dicembre 2025

ruzzino ha detto:
Ciao, come da procedura Microsoft ho aggiornato a CA2023, aggiornato boot manager e messo nella lista deprecati la versione 2011.
Tutto ok il PC si avvia regolarmente.
Nel BIOS non so' esattamente come procedere, se va' già bene così o ci sono da fare modifiche.
Selezionando custom in secure boot, in dettagli ho visto che c'è il CA2023 ma c'è anche il 2011.
Non e' che và impostato su 2023 in qualche modo per allinearlo alla nuova firma digitale del sistema operativo?

ma penso se ne possa fare anche a meno, intendo l'aggiornamento manuale, il pc in casa aggiornerà il certificato tramite windows update

ruzzino · 3 Dicembre 2025

Si probabilmente sul sistema operativo ci penserà Microsoft, resta il dubbio del BIOS perché Windows update non credo possa fare modifiche anche li

centoventicinque · 3 Dicembre 2025

Windows update aggiorna anche i certificati salvati nel firmware efi.

non so bene come faccia Windows a farlo, però è una pratica a carico del sistema operativo.

qua c'è spiegato come lo fa Linux

Unified Extensible Firmware Interface/Secure Boot - ArchWiki

ruzzino · 7 Dicembre 2025

Ma io ho già i certificati nel BIOS, l' ultimo aggiornamento BIOS risale a un mese fa'.
La domanda era, prima di fare danni, se in qualche modo si devono cancellare i vecchi e caricare i nuovi. Oppure va già bene così

Dopo aver aggiornato il certificato sul sistema operativo nel registro eventi mi dava ancora errore TPM-VMI (Secure boot certificates have been updated but are not yet applied to device firmware).
Per cui sono entrato nel bios e in secure boot ho selezionato l'opzione "Install default secure boot keys"

Continua a darmi dopo 5 minuti dall'accensione TPM-WMI 1801:
Secure Boot certificates have been updated but are not yet applied to the device firmware. Review the published guidance to complete the update and ensure full protection. This device signature information is included here.
DeviceAttributes: BaseBoardManufacturer:ASRock;FirmwareManufacturer:American Megatrends International.

Sembrerebbe che il BIOS debba essere aggiornato dal produttore

ruzzino · 8 Dicembre 2025

L'errore non mi si presenta più dopo aver modificato in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot in Availableupdate la chiave da 0 a 0x5944.
UEFICA2023Status in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing era not started ora è diventato Updated

Scadenza certificato avvio protetto win11

ruzzino

Nuovo Utente

Blume.

Moderatore

ruzzino

Nuovo Utente

centoventicinque

Moderatore

ruzzino

Nuovo Utente

ruzzino

Nuovo Utente