Da ich es an meinem PC mit Win 11 erst gemacht habe kam mir der Gedanken ,dass es hier auch die Shiftbook Nutzer mit Windows Betriebssystem betreffen wird/könnte.
Worum es geht :
Die alten Windows Secure Boot-Zertifikate laufen im Juni 2026 ab. Wer bis dato (spätestens aber Oktober 2026) die neuen Zertifikate nicht hat ,wird (bei aktiviertem Secure Boot) dann merken ,dass sein Rechner/Shiftbook nicht mehr booten wird.
Die Aktualisierung erfolgt seit Januar (schrittweise) im besten Fall automatisch über Windows Update.
Vorausgesetzt
1.Secure Boot ist aktiviert
2. die Telemetrie muss ebenfalls aktiviert sein damit man das Update erhält.
(
Microsoft nutzt Telemetriedaten, um zu bestimmen, ob ein Gerät für das Update geeignet ist. Nur Geräte mit mindestens Telemetrielevel „Required“ werden in den Update-Fahrplan aufgenommen)
Da ich vermutlich nicht der einzige bin ,der zumindest die Telemetrie nicht aktiviert hat und die Zertifikate daher manuell installieren musste ,dachte ich mir ,dies kann dem.ein oder anderem hier auch helfen um der "bösen Boot- Überraschung" im Oktober vorzubeugen.
Das ist kein Hexenwerk und benötigt.nicht viel.Zeit.
Als erste habe ich in der PowerShell (als Admin ausgeführt) geprüft ob das neue DB Zertifikat eventuell doch schon installiert sind.
Dazu führt man in der PowerShell den Befehl zur Prüfung des DB Zertifikate aus
# Prüfung des DB-Zertifikats
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).bytes) -match 'Windows UEFI CA 2023'
Gibt der Befehl "True" aus ,ist das Zertifikat bereits installiert und alles ist gut
Gibt er "False" (wie bei mir) aus ,kann das Update ,wie folgt manuell angestoßen werden.
Hinweis: Bei BitLocker-verschlüsselten Festplatten muss BitLocker vorher deaktiviert werden
Schritt-für-Schritt-Anleitung:
1. Öffne die PowerShell als Administrator.
2.Setze den Registry-Schlüssel, um das Update zu aktivieren:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot" -Name "AvailableUpdates" -Value 0x40
(Dieser Wert sorgt dafür, dass Windows Update nach den neuen Zertifikaten sucht.)
3.Starte die geplante Aufgabe „Secure-Boot-Update“:
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"
4.Starte den PC
zweimal neu, damit die Änderungen wirksam werden.
5.Überprüfe das Ergebnis:
Führe erneut die obengenannten Befehle zur "Prüfung der Zertifikate" aus.
Sie sollten nun *
True" ausgeben.
Mit dieser Anleitung hat es bei mir wunderbar und schnell geklappt. Die DB Zertifikate sind da wo sie sein sollen und man braucht nicht mehr ständig prüfen ob man sie erhalten hat.
Noch ein Hinweis :
Auf meinem PC waren danach ebenfalls die (für künftige DB Updates) notwendigen KEK Zertifikate installiert.
(Um langfristig Secure Boot funktionsfähig zu halten, ist auch ein KEK-Update erforderlich, das jedoch vom Hardwarehersteller abhängt und nicht manuell über Windows durchführbar ist.)
Prüfen ob die KEK Zertifikate mit installiert wurden kann man ebenfalls in der PowerShell mit dem Befehl:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match "Microsoft Corporation KEK 2K CA 2023"
Der Befehl gibt je nachdem ob installiert oder nicht ebenfalls "True" oder "False" .
- So soll es sein und erspart einem eine nervenaufreibende Erfahrung 
Windows XP, habe ich wirklich die Macke mit Tools das "nach Hause Telefonieren" nach Redmond zu minimieren. Wahrscheinlich hatte ich auf dem Shift13mi auch soetwas angewendet. Das muss ich prüfen!
