MINISFORUM BD795i SEのセキュアブート証明書CA2023を適用する

 2026年6月以降にセキュアブート証明書の期限切れを迎えるものが出てくる見込みとの事で、さっさと新しい証明書を適用しました。

イベントログに下図の通り、表示されていればCA2023が利用可能な状態にあるが、UEFIファームウェアに適用されていない状態と警告が出ていると思います。

Updated Secure Boot certificates are available on this device but have not yet been applied to the firmware. Review the published guidance to complete the update and maintain full protection. This device signature information is included here.

（和訳）このデバイスには更新されたセキュアブート証明書が利用可能ですが、ファームウェアにはまだ適用されていません。公開されているガイダンスを確認し、更新を完了して完全な保護を維持してください。このデバイスの署名情報は以下に記載されています。

PowerShellにて手動で更新を行います。

reg add HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x02 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

UEFIに入り、SecurityからSecure Boot を「Disable」にし、Modeを「Custom」に変更します。
メニューに「Reset To Setup Mode」が表示されますので、実行して再起動します。

PowerShellでCA2023が適用されているか確認してみましょう。

# PowerShellを管理者として実行します（スタートメニューでPowerShellを検索し、右クリックして「管理者として実行」）

# セキュアブートDB（署名データベース）に 2023版の証明書があるか確認

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

# セキュアブートKEK（キー交換キー）に 2023版の証明書があるか確認

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

# PowerShellを管理者として実行

Confirm-SecureBootUEFI

これで大丈夫かな？と思いきや、5分程度経った後にイベントログを見ると同じ警告が出ていました。

こちらの記事を参考にrufusでセキュアブート更新用のアプリMosbyを利用して更新してみました。

UEFI Shell 2.2の25H2バージョンをUSBメモリに書き込み、UEFI ShellにてMosbyを実行してKEKキーを生成して書き込みました。

PowerShellでの簡易確認で、Microsoft Option ROM UEFI CA 2023のみFalseでした。

さらにこちらの記事を参考にレジストリを書き換え、無事にMicrosoft Option ROM UEFI CA 2023もTrueになりました！

レジストリのUEFICA2023Statusも無事にUpdatedとなりました。

イベントビュアー上でも警告は表示されなくなったので、セキュアブート証明書は全て完了したようです。

なかなか、面倒ですね。。。最後に参考にしたサイト通りにやればストレートに上手くいったかもｗ

ー記事をシェアするー

B!