セキュアブート証明書更新
optionsセキュアブート証明書(2023 CA)更新作業手順書
1. 概要
本ドキュメントは、Microsoft UEFI CA 2011の有効期限が2026年に到来することに伴う「セキュアブート2026年問題」への対応手順を規定するものである。提示された2023年版証明書をUEFI DB(信頼済みデータベース)へ適切に登録し、継続的なシステム起動を保証する。
【重要事項】
・作業前にBitLockerの「回復キー」を必ず控えてください。
・本操作はNVRAM(BIOS領域)の書き換えを伴います。予期せぬ中断はPCの起動不可を招くため、安定した電源供給下で実施してください。
2. 事前準備
2.1 対象PCの確認
管理者権限のPowerShellで以下を実行し、セキュアブートが「有効」であることを確認する。
Confirm-SecureBootUEFI
2.2 適用ファイルの用意
以下の証明書ファイルを準備する。※拡張子 .crt は、PowerShellで扱うために .bin または .auth 形式の署名済みリストとしてパッケージ化されている必要がある。
| ファイル名 | 役割 |
|---|---|
| Microsoft UEFI CA 2023 | サードパーティ製OS・ドライバの署名検証用 |
| Windows UEFI CA 2023 | Windows OS本体の署名検証用 |
| Microsoft Option ROM UEFI CA 2023 | 拡張カード(GPU等)の署名検証用 |
3. 実行手順(PowerShell)
3.1 BitLockerの一時中断
構成変更によるロックを防ぐため、保護を一時的に停止する。
Suspend-BitLocker -MountPoint "C:" -RebootCount 1
3.2 更新プログラムの適用許可
システムに対してセキュアブート更新のフラグを立てる。
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 1
3.3 証明書のインポート(DBへの追加)
以下のコマンドで各証明書を適用する。-AppendWrite スイッチを必ず付与し、既存の証明書を保持すること。
# Windows UEFI CA 2023 の適用例
Set-SecureBootUEFI -Name db -ContentFilePath "C:\Path\To\windows_uefi_ca_2023.bin" -AppendWrite
# Microsoft UEFI CA 2023 の適用例
Set-SecureBootUEFI -Name db -ContentFilePath "C:\Path\To\microsoft_uefi_ca_2023.bin" -AppendWrite
Set-SecureBootUEFI -Name db -ContentFilePath "C:\Path\To\windows_uefi_ca_2023.bin" -AppendWrite
# Microsoft UEFI CA 2023 の適用例
Set-SecureBootUEFI -Name db -ContentFilePath "C:\Path\To\microsoft_uefi_ca_2023.bin" -AppendWrite
4. 適用確認
PCを再起動後、以下のコマンドで2023年版の証明書が登録されていることを確認する。
Get-SecureBootUEFI -Name db | Format-List
リスト内に「2023」の名称を含むエントリが存在すれば、正常に完了している。
