[サポートだより] セキュアブート証明書関連の更新手順
Дата публикации: 22-06-2026 16:16:34
こんにちは。GTS (Global Technical Support) の小森博司です。本記事では,HPE Gen10, Gen11, Gen12 サーバー (ProLiant, Synergy, Apollo など) 上で,Windows Server 2016, 2019, 2022, 2025 を実行している環境に対する,セキュアブート証明書関連の更新手順をご案内します。Microsoft が 2011 年に発行したセキュアブート (Secure Boot) 用のデジタル証明書が,2026 年 6 月から 10 月にかけて順次有効期限を迎えます (一部では煽り気味に "セキュアブート 2026 年問題" とも呼ばれていますが…)。Windows Server へ 2025 年 10 月, 11 月の更新プログラムを適用した後,スケジュールタスク \Microsoft\Windows\PI\Secure-Boot-Update が システムログに ソース: TPM-WMI, ID: 1801 エラーイベント を記録する様になるため,気付くお客様が多い様です:TPM-WMI イベント ID: 1801 について | Microsoft Japan Windows Technology Support Blogログの名前: System
ソース: Microsoft-Windows-TPM-WMI
イベント ID: 1801
レベル: エラー
ユーザー: SYSTEM
説明:
更新されたセキュア ブート証明書は、このデバイスで使用できますが、ファームウェアにはまだ適用されていません。公開されているガイダンスを確認し、更新を完了し、完全な保護を維持してください。このデバイス署名情報は次に含まれています。
DeviceAttributes:
BucketId:
BucketConfidenceLevel:
UpdateType:
詳細については、https://go.microsoft.com/fwlink/?linkid=2301018 を参照してください。Microsoft からのご案内については,以下の一連のドキュメントをご参照ください:Windows Server Secure Boot playbook for certificates expiring in 2026 | Microsoft Community HubMicrosoft Knowledge Base 5062710Windows セキュア ブート証明書の有効期限と CA 更新プログラム - Microsoft サポートHPE 製サーバー製品にて Windows Server をご使用になっている環境については,弊社からも以下の通り対処方法をご案内しております (申し訳ありませんが,英語版ドキュメントのみです):HPE Support Center ドキュメント ID: a00156355en_us (対象: Gen10, Gen10 Plus, Gen11, and Gen12 プラットフォーム)Advisory: Microsoft Windows - Information About Windows UEFI CA 2023 CertificateHPE Support Center ドキュメント ID: a00161168en_us (対象: Gen9 プラットフォーム)Advisory: Microsoft Windows - Information About Windows UEFI CA 2023 Certificate On HPE Gen9 Platformsまた,ご参考までに,Azure Local や Azure Stack Hub をご使用になっている環境についても,以下の通り対処方法をご案内しております: HPE Support Center ドキュメント ID: a00161129en_us (対象: Azure Local)Advisory: HPE Azure Local Solutions - Secure Boot Certificate Expiration and UpdateHPE Support Center ドキュメント ID: a00159017en_us (対象: Azure Stack Hub)Advisory: HPE Azure Stack Hub Solutions – Secure Boot Certificate Expiration and Update公式情報としては以上なのですが,この情報だけではちょっと不親切ですので,本記事で補足情報をお伝えします。■事前のおことわりセキュアブートと証明書の関係について詳しくは,UEFI Forum が公開している仕様書の第 32 章をご参照いただくのがお勧めです (本記事では深入りしません):Unified Extensible Firmware Interface (UEFI) Specification, Release 2.11 - 32 Secure Boot and Driver Signing (p. 1526)また,セキュアブート証明書の期限切れについては各ベンダーから多数の記事が公開されていますので,本記事では以下の事項については触れません:セキュアブート証明書の有効期限が切れると,OS がブートしなくなってしまうのでしょうか? → 少なくとも,OS はブートしますBIOS モード (レガシーモード) で OS をブートしています。対処が必要ですか? → 必要はありませんUEFI モードを使用していますが,セキュアブートを使用していません。対処が必要ですか? → 必要はありません (が,なるべくなら対処をお勧めします)古い証明書が DBX へ登録されて (つまり失効して) ブート不能になるのはいつですか? → 現在のところ未定です上記の様な疑問については,例えば以下のドキュメントの内容が参考になります:2026 年に有効期限を迎える Secure Boot 証明書の更新について | Microsoft Japan Windows Technology Support BlogMicrosoft Knowledge Base 5068008セキュア ブート更新プロセスに関してよく寄せられる質問 - Microsoft サポート■更新対象のモジュールリスト更新対象の証明書は以下の通りです (証明書名が似ていて混同しがちなので,本記事では [A1] ~ [D2] の別名を付記しています):有効期限が切れる証明書有効期限新しい証明書格納場所目的[A1] Microsoft Corporation KEK CA 20112026 年 6 月 25 日[A2] Microsoft Corporation KEK 2K CA 2023UEFI 変数 KEKUEFI 変数 db, dbx の更新処理用の署名[B1] Microsoft Windows Production PCA 20112026 年 10 月 20 日[B2] Windows UEFI CA 2023UEFI 変数 dbWindows ブートマネージャー (bootmgfw.efi) への署名[C1] Microsoft UEFI CA 20112026 年 6 月 28 日[C2] Microsoft UEFI CA 2023UEFI 変数 dbサードパーティ (Microsoft 以外) のブートローダーや EFI アプリケーションへの署名[C1] Microsoft UEFI CA 20112026 年 6 月 28 日[D2] Microsoft Option ROM UEFI CA 2023UEFI 変数 dbサードパーティオプション ROM への署名 本記事の想定環境では物理サーバーで直接 Windows Server をセキュアブートしているため,[A1] Microsoft Corporation KEK CA 2011 → [A2] Microsoft Corporation KEK 2K CA 2023[B1] Microsoft Windows Production PCA 2011 → [B2] Windows UEFI CA 2023の更新が完了すれば良いことになります。また,更新対象のバイナリイメージは (少なくとも) 以下の通りです (本記事では [E2] の別名を付記しています):パスパーティション用途[E2] \EFI\Microsoft\Boot\bootmgfw.efiESP (EFI System Partition)Windows ブートマネージャー ([B1] あるいは [B2] で署名されている) それぞれ,更新されたモジュールの提供元は以下の通りです:モジュール格納場所HPE 提供Microsoft 提供[A2] Microsoft Corporation KEK 2K CA 2023UEFI 変数 KEK○○[B2] Windows UEFI CA 2023UEFI 変数 db○○[C2] Microsoft UEFI CA 2023UEFI 変数 db○○[D2] Microsoft Option ROM UEFI CA 2023UEFI 変数 db○○[E2] Windows ブートマネージャー bootmgfw.efiESP (EFI System Partition)×○ ■更新方法は二通り更新方法は以下の二通りあります:System ROM にて証明書を更新して,Windows Server にてブートマネージャーを更新するWindows Server にて全て (証明書とブートマネージャー) を更新する前者の更新方法を採る場合,証明書 (HPE 提供のモジュール) は Customer Advisory a00156355en_us の手順でアップデート可能です。具体的には,サーバーの System ROM を新しいバージョンへアップデートすることで UEFI 変数 KEKDefault と dbDefault に [A2] Microsoft Corporation KEK 2K CA 2023 や [B2] Windows UEFI CA 2023 が登録される。RBSU (ROM Based Setup Utility) にて UEFI 変数 KEKDefault, dbDefault に登録された上記の証明書を KEK, db へ書き込む。という流れになります。この手順では Microsoft より提供される [E2] Windows ブートマネージャー bootmgfw.efi を更新できないので,Windows Server 上の追加操作で更新する必要があります (レジストリ値 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\AvailableUpdates = 0x0100 をセットしてスケジュールタスク \Microsoft\Windows\PI\Secure-Boot-Update を実行する。本記事では取り扱いません)。結局,複数種類の操作が必要になることより,本記事では後者の Windows Server にて全て更新する手順をご案内いたします。 Windows Server 以外の OS やハイパーバイザーを使用している場合には,前者の更新方法しか選択できない場合があります。■やることリストWindows Server の一般的な使用環境では,Windows Update による自動更新を期待することができません (自動更新されるためには,対象デバイスが "診断データを Microsoft へ送信している" あるいは "高信頼度データベースに登録されている" のどちらかを満たす必要があるため)。 そのため,管理者が手動で更新作業を行う必要があります 。また,グループポリシーを使用する手順等もありますが,ここでは単体サーバーへの対処をご案内します。全ての作業前に,Windows Server へ最新の更新プログラム (少なくとも 2025 年 11 月の更新プログラム) を適用してください。ファームウェアへの変更を伴うため,BitLocker が有効な場合には,48 桁の回復キーを用意しておいてください。適用後に実施する必要がある "やることリスト" は,以下の通りです:UEFI 変数 PK (Platform Key) に登録されている証明書を確認 (オプション)UEFI 変数 db (signature database) へ [B2] Windows UEFI CA 2023 を登録UEFI 変数 KEK (Key Exchange Key) へ [A2] Microsoft Corporation KEK 2K CA 2023 を登録OS 再起動[E2] Windows ブートマネージャー bootmgfw.efi を [B2] Windows UEFI CA 2023 で署名されたものへ変更OS 再起動1. UEFI 変数 PK (Platform Key) に登録されている証明書を確認 (オプション)対象サーバーの System ROM を最新版へアップデートしておくことをお勧めします。 その際には,SPP (Service pack for HPE ProLiant) 等を適用することにより,System ROM 以外のファームウェア,ドライバー等も含め一括アップデートすることをご検討ください。次に,管理者 PowerShell にてコマンドレット "Get-SecureBootUEFI -Name PK -Decoded" を実行し,証明書 "HPE UEFI Secure Boot 2016 PK Key" の有効期限 (BalidTo) が切れていないことを (念のため) 確認します。HPE Gen10, Gen11, Gen12 サーバーであれば問題はないはずです:PS C:\> Get-SecureBootUEFI -Name PK -Decoded
SignatureOwner : 1e910be1-4beb-6337-19f1-8a8ac107d512
Subject : O=Hewlett Packard Enterprise Company, C=US, OU=CODE-SIGN, CN=HPE UEFI Secure Boot 2016 PK Key
Version : 3
Algorithm : sha256RSA
SerialNumber : 77378497E4BAFF8B4AABB90CA4003AF8
ValidFrom : 2016-02-03 09:00:00Z
ValidTo : 2031-01-31 08:59:59Z尚,上記実行例で使用している PowerShell コマンドレット Get-SecureBootUEFI のパラメーター -Decoded は,2026 年 4 月 (以降) の更新プログラムを適用することで使用できます。Microsoft Knowledge Base 5093574PowerShell: Get-SecureBootUEFI で -Decodeed パラメーターを使用する - Microsoft サポート2. UEFI 変数 db (signature database) へ [B2] Windows UEFI CA 2023 を登録先ず,レジストリエディター (regedit.exe),あるいは管理者 PowerShell にてコマンド reg.exe を実行して,レジストリ値 "AvailableUpdates = 0x5944" を設定します:レジストリキー: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot値の名前: AvailableUpdates値の型: REG_DWORD値: 0x5944PS C:\> reg.exe ADD HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
この操作を正しく終了しました。次に,MMC [タスクスケジューラ] (taskschd.msc),あるいは管理者 PowerShell で関数 Start-ScheduledTask により,スケジュールタスク "\Microsoft\Windows\PI\Secure-Boot-Update" を即時実行します (即時実行しなくても,当該タスクは 12 時間毎に自動実行されます):タスクスケジューラPS C:\> Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"数秒後,UEFI 変数 db への更新がエラー無く完了すると,システムログに ソース: TPM-WMI, ID; 1036 情報イベント が記録され,結果を確認できます:ログの名前: System
ソース: Microsoft-Windows-TPM-WMI
イベント ID: 1036
レベル: 情報
ユーザー: SYSTEM
説明:
セキュア ブート Db 更新プログラムが正常に適用されましたこの時点で管理者 PowerShell にてコマンドレット Get-SecureBootUEFI を実行することで,UEFI 変数 db へ [B2] Windows UEFI CA 2023 が登録されたことを確認できます:PS C:\> Get-SecureBootUEFI -Name db -Decoded | Select-Object -Property Subject
Subject
-------
CN=Microsoft Corporation UEFI CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US // [B1]
CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US // [B2]
CN=Microsoft UEFI CA 2023, O=Microsoft Corporation, C=US // [C2]
CN=Microsoft Option ROM UEFI CA 2023, O=Microsoft Corporation, C=US // [D2]
-- 以下省略 --3. UEFI 変数 KEK (Key Exchange Key) へ [A2] Microsoft Corporation KEK 2K CA 2023 を登録この時点で KEK への更新も完了しているはずです。エラー無く完了すると,システムログに ソース: TPM-WMI, ID; 1043 情報イベント が記録され,結果を確認できます:ログの名前: System
ソース: Microsoft-Windows-TPM-WMI
イベント ID:1043
レベル: 情報
ユーザー: SYSTEM
説明:
セキュア ブート KEK 更新プログラムが正常に適用されました管理者 PowerShell にてコマンドレット Get-SecureBootUEFI を実行することで,UEFI 変数 KEK へ [A2] Microsoft Corporation KEK 2K CA 2023 が登録されたことを確認できます:PS C:\> Get-SecureBootUEFI -Name KEK -Decoded | Select-Object -Property Subject
Subject
-------
CN=Microsoft Corporation KEK CA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US // [A1]
CN=Microsoft Corporation KEK 2K CA 2023, O=Microsoft Corporation, C=US // [A2]
-- 以下省略 --4. OS 再起動エラー無く完了すると,システムログに ソース: TPM-WMI, ID; 1800 警告イベント が記録され,OS 再起動が必要なことが分かります:ログの名前: System
ソース: Microsoft-Windows-TPM-WMI
イベント ID: 1800
レベル: 警告
ユーザー: SYSTEM
説明:
セキュア ブート更新プログラムをインストールする前に再起動が必要です: Boot Manager (2023)この時点で関連レジストリ値を確認すると,AvailableUpdates = 0x4100UEFICA2023Status = "InProgress"BootMgrLastUpdateError = 0x8007015e (ERROR_FAIL_NOACTION_REBOOT)BootMgrLastUpdateErrorReason = "RebootRequired"となっていて,OS 再起動が必要なことが分かります:PS C:\> reg.exe QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot
AvailableUpdates REG_DWORD 0x4100
PS C:\> reg.exe QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing
WindowsUEFICA2023Capable REG_DWORD 0x0
UEFICA2023Status REG_SZ InProgress
BucketHash REG_SZ
ConfidenceLevel REG_SZ
ConfidenceUpdateType REG_DWORD 0x0
BootMgrLastUpdateError REG_DWORD 0x8007015e
BootMgrLastUpdateErrorReason REG_SZ RebootRequired
UEFICA2023Error REG_DWORD 0x8007015e
UEFICA2023ErrorEvent REG_DWORD 0x708
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing\DeviceAttributes
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing\UploadedForCurrentBootCycleOS を再起動します。5. [E2] Windows ブートマネージャー bootmgfw.efi を [B2] Windows UEFI CA 2023 で署名されたものへ変更OS 再起動後,MMC [タスクスケジューラ] (taskschd.msc),あるいは管理者 PowerShell で関数 Start-ScheduledTask を実行して,スケジュールタスク "\Microsoft\Windows\PI\Secure-Boot-Update" を即時実行します (当該タスクはシステム起動時に自動実行されるため,手動実行が不要な場合もありますが,複数回実行しても問題はありません):PS C:\> Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"システムログに ソース: TPM-WMI, ID; 1799 情報イベント が記録され,ブートマネージャーが変更されたことを確認できます:ログの名前: System
ソース: Microsoft-Windows-TPM-WMI
イベント ID: 1799
レベル: 情報
ユーザー: SYSTEM
説明:
Windows UEFI CA 2023 で署名されたブート マネージャーが正常にインストール管理者 PowerShell にてコマンド mountvol.exe /S で ESP (EFI System Partition) をマウントして (以下の実行例では U: ドライブ),コマンドレット Get-PfxCertificate を実行します。 これにより [E2] Windows ブートマネージャー bootmgfw.efi が [B2] Windows UEFI CA 2023 で署名されたものへ変更されたことを確認できます (最後にコマンド mountvol.exe /D でマウント解除しておきます):PS C:\> mountvol.exe U: /S
PS C:\> Get-PfxCertificate -FilePath U:\EFI\Microsoft\Boot\bootmgfw.efi | Select-Object -Property Issuer
Issuer
------
CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
PS C:\> mountvol.exe U: /D別の確認方法として,GUI を使用することもできます:コマンド mountvol.exe /S で ESP をマウントして,ファイル bootmgfw.efi を別のパスへコピーExplorer でコピー先のファイル bootmgfw.efi にて右クリックしてコンテキストメニューを開き,[プロパティ] を選択[デジタル署名] タブを選択し [詳細] ボタンを押して [デジタル署名の詳細] を開く[証明書の表示] ボタンを押すファイル bootmgfw.efi のプロパティシステムログには ソース: TPM-WMI, ID; 1808 情報イベント が記録され,全ての更新処理が完了したことを確認できます。 以下の例ではWindows UEFI CA 2023 (DB): [B2] Windows UEFI CA 2023Option ROM CA 2023 (DB): [D2] Microsoft Option ROM UEFI CA 20233P UEFI CA 2023 (DB): [C2] Microsoft UEFI CA 2023KEK 2023: [A2] Microsoft Corporation KEK 2K CA 2023Boot Manager (2023): [E2] Windows ブートマネージャー bootmgfw.efiを更新済みと分かります:ログの名前: System
ソース: Microsoft-Windows-TPM-WMI
イベント ID: 1808
レベル: 情報
ユーザー: SYSTEM
説明:
このデバイスはセキュア ブート CA/キーを更新しました。このデバイス署名情報はここに含まれています。
DeviceAttributes:
BucketId:
BucketConfidenceLevel:
UpdateType: Windows UEFI CA 2023 (DB), Option ROM CA 2023 (DB), 3P UEFI CA 2023 (DB), KEK 2023, Boot Manager (2023)
詳細については、 https://go.microsoft.com/fwlink/?linkid=2301018. を参照してくださいこの時点で関連レジストリ値を確認すると,AvailableUpdates = 0x4000UEFICA2023Status = "Updated"となっていて,すべての更新処理が完了したことを確認できます:PS C:\> reg.exe QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot
AvailableUpdates REG_DWORD 0x4000
PS C:\> reg.exe QUERY HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing
WindowsUEFICA2023Capable REG_DWORD 0x0
UEFICA2023Status REG_SZ Updated
BucketHash REG_SZ
ConfidenceLevel REG_SZ
ConfidenceUpdateType REG_DWORD 0x0
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing\DeviceAttributes
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot\Servicing\UploadedForCurrentBootCycleMicrosoft Knowledge Base 5085046セキュア ブートのトラブルシューティング ガイド - Microsoft サポート - 予想される進行状況 (AvailableUpdates)6. OS 再起動新しい証明書,ブートマネージャーで OS をセキュアブート可能であることをご確認ください。本記事がお客様のお役に立てば幸いです。
Схожие новости
Тональность 0
Информативность 0
community.hpe.com