セキュアブートの証明書有効期限切れ問題に対応する。
一応Windows Updateで自動的に更新されるはずなのだが、更新されないPCもあるので手動で対応してみた。
私の所有PCでまだ更新がされていないものが1台ある。
MinisforumのJB95である。
2026/4/8追記:
AcerのノートPCで証明書が更新されていなかったので調べたら、Biosの設定で初期のスーパーバイザーのパスワードが設定されていない状態ではセキュアブート関連を含むセキュリティ項目全般がロックされており、パスワードを設定することで更新できるようになった。
メーカーによっては購入時そのままで使用しているとダメな場合もある様だ。
追記終わり
このPCのセキュアブート関連の情報を表示するツールを使って確認した。
ツールはCheck-UEFISecureBootVariablesという管理者権限のコマンドラインから実行するものを使用。
2026/3/23追記:
【セキュアブート2026問題】古いパソコンのセキュアブート証明書を更新する方法(UEFI CA 2023対応)
でCheck-UEFISecureBootVariablesに含まれる各ツールの詳しい使用方法を解説さています。
PK以外を手動更新方法する場合は上記のサイトが参考になります。
今回はPKを更新する必要があるのでRufusの作者が作成したmosbyを使ってます。
mosbyはPK更新のついでに他の証明書関連も併せて更新してくれます。
追記終わり
結果は以下の通り。
--------------------------------------------------------------------------------------------
Checking for Administrator permission...
Running as administrator - continuing execution...
14 2月 2026
Manufacturer: BESSTAR TECH LIMITED
Model: JB95
BIOS: American Megatrends International, LLC., JB9008, JB9008, ALASKA - 1072009
Windows version: 25H2 (Build 26200.7623)
Secure Boot status: Enabled
Current UEFI PK
√ DO NOT TRUST - AMI Test PK
Default UEFI PK
√ DO NOT TRUST - AMI Test PK
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Current UEFI DBX
2025-10-14 (v1.6.0) : FAIL: 404 failures, 27 successes detected
Windows Bootmgr SVN : None
Windows cdboot SVN : None
Windows wdsmgfw SVN : None
続行するには何かキーを押してください . . .
--------------------------------------------------------------------------------------------
UEFI PKがAMI Test PKとなっている。
このPKは文字通りテスト用のカギなので本来販売する製品に使用していけないものである。
これを正規のPKに変更するにはメーカーが提供するbiosでアップデートするしかないが、残念ながらメーカーのサポートページでもサポート情報が無い。
当然更新用のbiosもないのでこのままでは変更できない。
--------------------------------------------------------------------------------------------
UEFI PKがAMI Test PKとなっている。
このPKは文字通りテスト用のカギなので本来販売する製品に使用していけないものである。
これを正規のPKに変更するにはメーカーが提供するbiosでアップデートするしかないが、残念ながらメーカーのサポートページでもサポート情報が無い。
当然更新用のbiosもないのでこのままでは変更できない。
KEKやDBもCA 2011と古いままで最新のCA 2023はインストールされていない。
仮にKEKやDBにCA 2023が導入されていても元となるPKが信頼できない鍵の為、セキュアブートの安全性が担保されない。
なので今回はこれをメーカーの提供するPKではなくオリジナルのPKに置き換えてそのほかの各種証明書関連ファイルも更新してみることに。
参考にしたのは2026年セキュアブート更新問題にむけて☆ド素人でも簡単手動更新術伝授まで☆
基本的にこちらの解説で問題ないが、biosの設定情報が私の環境とは違ったので補足して説明する。
・biosからSecure Bootを選択
・Secure BootをDisable、Key Managementを選択
セキュアブートを無効化している。
・Factory Key ProvisionをDisableにしてひとつ前のメニューに戻る
Defaultの古い証明書関連ファイルをCurrentに反映しない様に禁止している。
・Reset To Setup Modeを選択してYesを選択する
Currentの証明書関連ファイルを更新できるようにセットアップモードで起動するように変更している。
再起動するとUSBからUEFI Shellが起動するのでmosbyを起動して更新が成功した。
更新後に再度セキュアブートを有効化し、関連の情報を表示した結果は以下の通り。
--------------------------------------------------------------------------------------------
--------------------------------------------------------------------------------------------
CurrentのUEFI PKがMosby Generated PKに置き換わっている。
CurrentのKEKとDBにもCA 2023が適用されている。
ただしデフォルト側にはCA 2023がないのでセキュアブート関連をリセットしてデフォルトが適用されると消えてしまうと思われる。
デフォルトが適用された場合は再度やり直さないとダメかも。
もう一台AMI Test PKのPC(Aoostar R7)があるが、こちらもメーカーのサポート情報を見ると更新biosはなかった。
一応KEKやDBはCA 2023がWindows Updateで適用されていた。
--------------------------------------------------------------------------------------------
仮にKEKやDBにCA 2023が導入されていても元となるPKが信頼できない鍵の為、セキュアブートの安全性が担保されない。
なので今回はこれをメーカーの提供するPKではなくオリジナルのPKに置き換えてそのほかの各種証明書関連ファイルも更新してみることに。
参考にしたのは2026年セキュアブート更新問題にむけて☆ド素人でも簡単手動更新術伝授まで☆
基本的にこちらの解説で問題ないが、biosの設定情報が私の環境とは違ったので補足して説明する。
・biosからSecure Bootを選択
・Secure BootをDisable、Key Managementを選択
セキュアブートを無効化している。
・Factory Key ProvisionをDisableにしてひとつ前のメニューに戻る
Defaultの古い証明書関連ファイルをCurrentに反映しない様に禁止している。
・Reset To Setup Modeを選択してYesを選択する
Currentの証明書関連ファイルを更新できるようにセットアップモードで起動するように変更している。
再起動するとUSBからUEFI Shellが起動するのでmosbyを起動して更新が成功した。
更新後に再度セキュアブートを有効化し、関連の情報を表示した結果は以下の通り。
--------------------------------------------------------------------------------------------
Checking for Administrator permission...
Running as administrator - continuing execution...
14 2月 2026
Manufacturer: BESSTAR TECH LIMITED
Model: JB95
BIOS: American Megatrends International, LLC., JB9008, JB9008, ALASKA - 1072009
Windows version: 25H2 (Build 26200.7623)
Secure Boot status: Enabled
Current UEFI PK
√ Mosby Generated PK [2026.02.14]
Default UEFI PK
√ DO NOT TRUST - AMI Test PK
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ MosbyKey [2026.02.14] (revoked: False)
Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Current UEFI DBX
2025-10-14 (v1.6.0) : SUCCESS: 431 successes detected
Windows Bootmgr SVN : 7.0
Windows cdboot SVN : 3.0
Windows wdsmgfw SVN : 3.0
続行するには何かキーを押してください . . .
--------------------------------------------------------------------------------------------
CurrentのUEFI PKがMosby Generated PKに置き換わっている。
CurrentのKEKとDBにもCA 2023が適用されている。
ただしデフォルト側にはCA 2023がないのでセキュアブート関連をリセットしてデフォルトが適用されると消えてしまうと思われる。
デフォルトが適用された場合は再度やり直さないとダメかも。
もう一台AMI Test PKのPC(Aoostar R7)があるが、こちらもメーカーのサポート情報を見ると更新biosはなかった。
一応KEKやDBはCA 2023がWindows Updateで適用されていた。
--------------------------------------------------------------------------------------------
Checking for Administrator permission...
Running as administrator - continuing execution...
14 2月 2026
Manufacturer: HC Technology.,Ltd.
Model: HCAR5000-MI2
BIOS: American Megatrends International, LLC., 0.22, 0.22, ALASKA - 1072009
Windows version: 25H2 (Build 26200.7840)
Secure Boot status: Enabled
Current UEFI PK
√ DO NOT TRUST - AMI Test PK
Default UEFI PK
√ DO NOT TRUST - AMI Test PK
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Current UEFI DBX
2025-10-14 (v1.6.0) : SUCCESS: 431 successes detected
Windows Bootmgr SVN : None
Windows cdboot SVN : None
Windows wdsmgfw SVN : None
続行するには何かキーを押してください . . .
--------------------------------------------------------------------------------------------
大半の環境では証明書が更新されるみたいだがダメな場合は手動更新で対応できそう。
--------------------------------------------------------------------------------------------
大半の環境では証明書が更新されるみたいだがダメな場合は手動更新で対応できそう。
2026/3/23追記:
Aoostar R7についてもmosbyでPKの更新作業を実施。
Biosの設定項目の表記が微妙に違ったため、”Reset To Setup Mode”に相当する”Default To Setup Mode”を有効にし忘れて作業を実施したためCurrentのKEKやDBが全部消えた状態になった。
Secure BootはDisableの為、その状態でもOSの起動自体に問題はなかった。
取り合えずFactory Key Provisionを有効にして再起動しDefaultの方から消えたCurrentのファイルを復元後、再度更新作業を実施し正常に終了できた。
更新後の状態は以下の通り。
--------------------------------------------------------------------------------------------
Checking for Administrator permission...
Aoostar R7についてもmosbyでPKの更新作業を実施。
Biosの設定項目の表記が微妙に違ったため、”Reset To Setup Mode”に相当する”Default To Setup Mode”を有効にし忘れて作業を実施したためCurrentのKEKやDBが全部消えた状態になった。
Secure BootはDisableの為、その状態でもOSの起動自体に問題はなかった。
取り合えずFactory Key Provisionを有効にして再起動しDefaultの方から消えたCurrentのファイルを復元後、再度更新作業を実施し正常に終了できた。
更新後の状態は以下の通り。
--------------------------------------------------------------------------------------------
Checking for Administrator permission...
Running as administrator - continuing execution...
23 3月 2026
Manufacturer: HC Technology.,Ltd.
Model: HCAR5000-MI2
BIOS: American Megatrends International, LLC., 0.22, 0.22, ALASKA - 1072009
Windows version: 25H2 (Build 26200.8037)
Secure Boot status: Enabled
Current UEFI PK
√ Mosby Generated PK [2026.03.14]
Default UEFI PK
√ DO NOT TRUST - AMI Test PK
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Current UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
√ Microsoft Corporation KEK 2K CA 2023 (revoked: False)
Default UEFI KEK
√ Microsoft Corporation KEK CA 2011 (revoked: False)
X Microsoft Corporation KEK 2K CA 2023
Current UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
√ Windows UEFI CA 2023 (revoked: False)
√ Microsoft UEFI CA 2023 (revoked: False)
√ Microsoft Option ROM UEFI CA 2023 (revoked: False)
√ MosbyKey [2026.02.14] (revoked: False)
Default UEFI DB
√ Microsoft Windows Production PCA 2011 (revoked: False)
√ Microsoft Corporation UEFI CA 2011 (revoked: False)
X Windows UEFI CA 2023
X Microsoft UEFI CA 2023
X Microsoft Option ROM UEFI CA 2023
Current UEFI DBX
2025-10-14 (v1.6.0) : SUCCESS: 431 successes detected
Windows Bootmgr SVN : 7.0
Windows cdboot SVN : 3.0
Windows wdsmgfw SVN : 3.0
続行するには何かキーを押してください . . .
--------------------------------------------------------------------------------------------
ちなみにmosbyで作成されるPKの有効期限は2050年まであった。
Microsoft Corporation KEK 2K CA 2023は2038年、Windows UEFI CA 2023は2035年、Microsoft Option ROM UEFI CA 2023は2038年までが有効期限の様だ。
--------------------------------------------------------------------------------------------
ちなみにmosbyで作成されるPKの有効期限は2050年まであった。
Microsoft Corporation KEK 2K CA 2023は2038年、Windows UEFI CA 2023は2035年、Microsoft Option ROM UEFI CA 2023は2038年までが有効期限の様だ。
| 固定リンク
「パソコン・インターネット」カテゴリの記事
- セキュアブートの証明書有効期限切れ問題に対応する。(2026.02.14)
- SkyBarium N1 Proを購入。(2025.12.29)
- Sleipnir4からBlinkエンジンだけ消えた。(2025.09.19)
- windows10の終了近づく(メインPCの更新)(2025.09.16)
- iobb.netサービス終了のお知らせに今更気が付いた件(2025.05.25)
「ソフトウェア」カテゴリの記事
- Windows11のアップデート後にエラーコード0x7Eで再起動ループに陥る(2026.04.16)
- Windows11で頻繁に画面フリーズして操作出来なくなる不具合が発生(2026.03.23)
- セキュアブートの証明書有効期限切れ問題に対応する。(2026.02.14)
- SkyBarium N1 Proを購入。(2025.12.29)
- Adobe Muse CC 2018をWindows11で動かす(2025.11.06)
「Minisforum」カテゴリの記事
- セキュアブートの証明書有効期限切れ問題に対応する。(2026.02.14)
- Minisforum DeskMini JB95の性能を調べてみた(2022.05.07)
- Celeron N5095搭載のミニPCを購入(2022.05.06)
「JB95」カテゴリの記事
- セキュアブートの証明書有効期限切れ問題に対応する。(2026.02.14)
- Minisforum DeskMini JB95の性能を調べてみた(2022.05.07)
- Celeron N5095搭載のミニPCを購入(2022.05.06)
「セキュアブート関連」カテゴリの記事
- セキュアブートの証明書有効期限切れ問題に対応する。(2026.02.14)
コメント