Windows 11/10 | 2026年6月27日有効期限切れ Windows UEFI CA 2011 証明書を CA 2023 (2038年まで有効) に更新する延命方法

※重要: 最新(最終)のBIOSに更新してください！新BIOSが現行リリースされているPCの場合は比較的新しいBIOSに「 CA 2023 」が含まれているはずです。 Windows 11 HW要件対応PCでも2023年6月頃以降のBIOSでないと「 CA 2023 」を含んでいない可能性が高いです。それ以前の古いBIOSバージョンでは 2026年6月末に有効期限切れになる「 CA 2011 」だと思われます。この動画では古い ASUS製 Intel 第３世代 PC で行っていますが、他社製PCでも手順は似たり寄ったりです。

▼ ブートモードの確認 Windowsキー + R を押し、「ファイル名を指定して実行」を開きます。 [　msinfo32　]と入力して[ OK ]を押します。「システム情報」が開いたら、「BIOS モード」が「 UEFI 」か確認します。「セキュアブートの状態」が「有効」か確認します。「BIOS モード」が「レガシ」や「セキュアブートの状態」が「無効」の場合は、キーの判別ができません。最新(最終)のBIOSにして、UEFI セキュアブート「有効」下でOSを入れてください。ビデオカードによっては署名有効期限が入っているので日時を2026年6月27日以前で作業します。期限を超えていてBIOS表示もされない場合は、マザーボード上のBIOS リセットやCMOSバッテリーを外して日時をリセットします。

▼ 「Windows UEFI CA」のキー確認タスクバーの検索欄に「 PowerShell 」と入力して[管理者として実行]を選択以下のコマンドをコピペして実行する。 ※このコマンドが「 True 」を返した場合、早急に更新してOSクリーンインストールしましょう！＞ [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI PK).bytes) -match "DO NOT TRUST|DO NOT SHIP" ・'Windows UEFI CA 2023' ＞ [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' コマンドが「 True 」を返した場合、既に「 Windows UEFI CA 2023 」です。 https://i.imgur.com/yzeswWQ.jpeg 2038年まで有効です。現在更新の必要はありません。コマンドが「 False 」を返した場合、Windows UEFI CA 2023 以外で対象です。 2011年版のMicrosoftセキュアブート署名証明書は、2026年6月27日に有効期限を迎えます。他の更新確認コマンド例・'Microsoft UEFI CA 2023' : True = OK 更新済み＞ [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).bytes) -match 'Microsoft UEFI CA 2023' ・'Microsoft Option ROM UEFI CA 2023' : True = OK 更新済み＞ [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).bytes) -match 'Microsoft Option ROM UEFI CA 2023' ・新 'KEK' : True = OK 更新済み＞ [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' ・'DBx' で PCA2011 が無効にされているか？ : True = 有効/無効 = False ＞ [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbx).bytes) -match 'Microsoft Windows Production PCA 2011' ・ブートローダーの年式＞ mountvol S: /S ＞ (Get-PfxCertificate -FilePath "S:\EFI\Microsoft\Boot\bootmgfw.efi").issuer ＞ (Get-PfxCertificate -FilePath "S:\EFI\Boot\bootx64.efi").issuer ＞ mountvol S: /D

▼ UEFI-Shell によるセキュアブートキーの更新以下のコマンド打ち込みは英語キーボード配列(PC/AT 拡張キーボード(101/102キー))になっているハズなので日本語キーボード使用の場合は [ : ] コロンはShift+セミコロン [ _ ] アンダーバーはShift+イコールで打ち込む Shell＞ FS0: でエンター FS0:＼＞ LS でエンター ※ Intel 64bit PC であれば FS0:＼＞ Mosby_x64.efi -x でエンター → ブルー画面「NOTICE」表示で [OK] →「DB credentials installation」表示で [GENERATE] →「Mosby has sucessfully the Secure Boot variables.」表示で [YES] 成功すれば、それぞれ CA 2023 がインストールされた旨表示されます。電源OFF して UEFI-Shell インストール用 USB メモリから OSインストール用 USB メモリに付け替え起動します。 https://i.imgur.com/xr0LQBf.jpeg ※もし更新運用後に BIOSのセキュアブートCA2023キーを削除してしまい起動不可になった場合 (新キーを保存していなかった場合) 行った更新と同じ「UEFI-Shell x.x」ブートメモリを用いて同様の更新手順で入れ直すとワンチャン復帰の可能性があります。私の環境で試しにキーをリセットして起動不可から復帰出来ました。

▼ OS クリーンインストール ※重要箇所・インストールするOSの種類ですが Windows 11 25H2 以降は CPU要件に追加で [ SSE 4.2 ] が必須になります。この条件を満たさない古いパソコンには Windows 11 25H2 以降のOSはインストールしない方がいいでしょう。

▼ 新しいセキュアブート証明書と関連する更新プログラムの展開を開始する UEFI-Shellに頼らない方法例です。スタート【田】右クリック→[ターミナル(管理者)]で以下のコマンドを実行するか、[ regedit ] 「レジストリエディタ」を起動にて手動で作る。レジストリキー値の更新 (Pro , Home 用) ＞ reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot" /v "AvailableUpdates" /t REG_DWORD /d "0x5944" /f 場所: コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot 「AvailableUpdates」「DWORD（32ビット）値 0x5944(22852) 」設定をして Windows Update を適度に更新すると新証明書が降ってくる。 DB(追加)→KEK(交換)→ブートローダー(交換)→DBx失効(旧DB削除) 値 0 は無効、端数の数値が残ると失敗更新最終 0x4000 で正常で以下の値が"Updated"でプロセスは正常です。　場所: コンピューター\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing 　名前: UEFICA2023StatusがUpdated 　値: Updated そこまでいったら reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot" /v "AvailableUpdates" /t REG_DWORD /d "0x0080" /f reg.exe add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot" /v "AvailableUpdates" /t REG_DWORD /d "0x0200" /f で更新完了です。

▼ 期日を超えている場合 2026年6月27日以前＆OSサポート有効範囲のBIOS日時にしてインターネットから隔離してUEFI-Shell 作業します。 OS初期インストール中はインターネット経由で更新プログラムを充てないようにしましょう。古PCのOSアップデート解説動画で散見されますが、「セットアップでの更新プログラムのダウンロード方法の変更」を押して「今は実行しない」を選択し変更しないと続きでオンラインWindows Updateに移行してしまいます。非対応PCだと更新プログラムのTPM CPU必須要件物に引っ掛っかる可能性が増えます。場合によっては作業を最初からやりなおしループになるかも？恐らく、コマンド「 setup /product server 」打ち勢でインストール失敗するのはココでしょう。なんでハードウェア要件をスキップさせるコマンドで進めておきながらそのまま[次へ]押して地雷を踏みに行かせるのか？僕にはワケがワカラナイよ (CV キュゥべえ)