Neue Secure Boot Zertifikate Lenovo sagt JA ?

Chri5 · 12 Feb. 2026

Hallo zusammen,

meine Hardware:

ThinkPad T14 Gen1 AMD
1x AMD Ryzen 7 PRO 4750U Processor(Ryzen 7 PRO 4750U)
1x AMD Radeon Graphics
16GB RAM
1x 256GBPCIeNVMeOP

Auf meinem T14 Gen 1 sind noch die alten Secure Boot Zertifikate.
Eine Suche auf der Hersteller Seite ergab, dass Lenovo jedoch auch die ältere Generation bis zu bestimmen Modellreihen mit den neuen Zertifikaten unterstützen möchte....zumindest lese ich das so heraus ;-)

Folgende Info von Lenovo:

Ablauf des Microsoft Secure Boot-Zertifikats 2011 – Lenovo Commercial PCs

Bitte die Seite auf englische darstellen lassen, da in der übersetzten deutschen Seite keine Liste der Modell Reihe angezeigt wird.

Wie man dort sehen kann, wird die T14 Gen1 Reihe für AMD und INTEL mit einem BIOS bedacht, welches die neuen Zertifikate für KEK CA 2011, PCA 2011 und CA 2011 einspielen soll.

In meinem Fall:

T14 Gen 1 AMD

20UD, 20UE

R1BET85W (v1.54)

Kurioserweise zeigt der Link zur v1.54 jedoch nur alle Versionen bis 1.53 an:

Verlinkte BIOS Versionen für das Modell

Eine 1.54 wird auf der Produktseite nirgendwo erwähnt.

Die Frage ist nun, warum teilt Lenovo auf der Seite zum Thema Secure Boot Zertifikat, für die T14er Reihe eine BIOS in Version 1.54 mit, aber gibt für diese auf der verlinkten Produktseite keine genaueren Infos zum Stand?

Soll das nun noch etwas kommen oder bleibt die T14er Reihe hier außen vor ?

Was passiert eigentlich mit den Windows Installationen, die mit Secure Boot unter den alten Zertifikaten erstellt wurden ab Juli 26?

Habt ihr zum erwähnten 1.54 Update irgendwelche Infos?

Danke im Voraus.

bodu · 10 Apr. 2026

linrunner schrieb:
vor einem "Restore the Factory Keys" (in Security -> Secure Boot) erstmal im "Key Management" nachzuschauen. Ich habe vorgestern mein P14s Gen2 AMD auf 1.33 upgedatet und alle 2023er Keys sind ohne weitere Aktion da. Egal was Lenovo da (vorsichtigerweise) schreibt

Die neuen Keys sollen mit 1.33 in den default Tabellen enthalten sein. https://support.lenovo.com/de/de/solutions/ht518129

So ganz verstehe ich den Ablauf vorgestern nicht. Kannst du das klarstellen?
Waren die 2023er Keys nach fwupdmgr ohne weitere Aktion in den aktiven Tabellen?
Waren die 2023er Keys nach "Restore the Factory Keys" (in Security -> Secure Boot) in den aktiven Tabellen?

linrunner · 10 Apr. 2026

bodu schrieb:
Waren die 2023er Keys nach fwupdmgr ohne weitere Aktion in den aktiven Tabellen?

Ja. Streng genommen lagen natürlich zwei Reboots dazwischen. Der erste fürs Update selbst. Der zweite um aus dem neu gestarten System wieder ins BIOS zu gelangen um nachzuschauen.

Herr Moehre · 10 Apr. 2026

Ich hab ein P16s Gen 1 AMD hier, das hatte noch nicht das Zertifikat, Windows 11 ohne Secure Boot installiert und BIOS Updates etc. mit deaktiviertem Secure Boot durchgeführt.

Im Anschluss ist mir aufgefallen, dass ich das noch ausgeschaltet hatte.
Windows 11 meldet seither, dass Secure Boot mit alten Zertifikat aktiv ist, aber noch Daten gesammelt werden müssen, bevor es das Zeritifkat tauscht.
Das 2023er Zertifikat war noch immer nicht im Store, trotz BIOS Update auf 1.62.
Ich hätte erwartet, dass es das Zertifikat mit reinpumpt, auch wenn Secure Boot deaktiviert ist, schade.

Habs mal manuell hinzugefügt...

bodu · 11 Apr. 2026

linrunner schrieb:
Der erste fürs Update selbst. Der zweite um aus dem neu gestarten System wieder ins BIOS zu gelangen um nachzuschauen.

Hier am T16 Gen2 zeigt das UEFI Key Management die aktiven Zertifikate an, die aus dem NVRAM.
Die default Tabelle (factory - die vom UEFI Update verteilten) sehe ich nicht im UEFI Key Management.

Wenn ich das richtig verstehe, schreibt fwupd auch Zertifikate.

FwupdPlugin: UEFI Secure Boot Certificates

Reference for FwupdPlugin-1.0: UEFI Secure Boot Certificates

fwupd.github.io

Beim genannten UEFI Update ist mir unklar, welche Zertifikate stammmen vom UEFI Update, welche Zertifikate wurden eventuell von fwupd aus der default Tablle zur aktuellen Tablle hinzugefügt? Oder von fwupd selbständig geschrieben.

Gibt es zufällig etwas in der Richtung?
/sys/firmware/efi/efivars/dbDefault-*
/sys/firmware/efi/efivars/db-*

Herr Moehre schrieb:
P16s Gen 1 AMD - Windows 11

Habs mal manuell hinzugefügt...

Kannst du die aktuelle Situation zum P16s Gen1 AMD nennen?

Code:

(Get-SecureBootUEFI -Name DB -Decode).Subject
(Get-SecureBootUEFI -Name DBdefault -Decode).Subject

Herr Moehre · 11 Apr. 2026

@bodu Sicher doch:

PS C:\WINDOWS\system32> (Get-SecureBootUEFI -Name DB -Decode).Subject
CN=ThinkPad Product CA 2012, O=Lenovo Ltd., L=Yokohama, S=Kanagawa, C=JP
CN=Lenovo UEFI CA 2014, O=Lenovo, S=North Carolina, C=US
CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US

PS C:\WINDOWS\system32> (Get-SecureBootUEFI -Name DBdefault -Decode).Subject
CN=ThinkPad Product CA 2012, O=Lenovo Ltd., L=Yokohama, S=Kanagawa, C=JP
CN=Lenovo UEFI CA 2014, O=Lenovo, S=North Carolina, C=US
CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
CN=Microsoft UEFI CA 2023, O=Microsoft Corporation, C=US

Ebenfalls zeigt das BIOS mir die 2023er Keys nun an, die kann ich auflisten.

Da das P16s nur kurzzeitig immer mal läuft, nehme ich an, ist das noch normal, auch die alten Keys sind noch hinterlegt.
Ich habe keine neuen Windows Updates seit Aktivierung von Secure Boot installiert, ggfls. schwenkt das zu den April Updates, die Dienstag kommen um:

linrunner · 11 Apr. 2026

bodu schrieb:
Beim genannten UEFI Update ist mir unklar, welche Zertifikate stammmen vom UEFI Update, welche Zertifikate wurden eventuell von fwupd aus der default Tablle zur aktuellen Tablle hinzugefügt? Oder von fwupd selbständig geschrieben.

Gibt es zufällig etwas in der Richtung?
/sys/firmware/efi/efivars/dbDefault-*
/sys/firmware/efi/efivars/db-*

Ich hab mich mit dem Innenleben der Updates nicht beschäftigt.

sudo ls -l /sys/firmware/efi/efivars/dbDefault-* /sys/firmware/efi/efivars/db-*
ls: cannot access '/sys/firmware/efi/efivars/dbDefault-*': No such file or directory
-rw-r--r-- 1 root root 9150 10. Apr 16:24 /sys/firmware/efi/efivars/db-d719b2cb-3d3a-4596-a3bc-dad00e67656f

Herr Moehre · 16 Mai 2026

Hab mit nem alten 24H2 Image ohne secure Boot das L14 installiert (Rufus Stick) und währenddessen beim 1. Neustart das Secure Boot aktiviert wieder im BIOS.

Mal gucken ob ich es wieder aktiviert bekomme wenn Windows 11 voll gepatched ist.

Vorher war 25H2 mit April 2026 Update und aktivem Secure Boot drauf.

Update: Neues Windows 11 voll aktualisiert und secure Boot kann wieder aktiviert werden
2023er CA ist auch da

bodu · 21 Mai 2026

T530, T460p, X250, T480, T16 Gen 2 nutzen den gleichen PK Platformkey.
Es gibt ein KEK CA 2023 von Lenovo.
(Get-SecureBootUEFI -Name PK -Decode).SerialNumber

secureboot_objects/PostSignedObjects/KEK/kek_update_map.json at main · microsoft/secureboot_objects

Secure boot objects recommended by Microsoft. Contribute to microsoft/secureboot_objects development by creating an account on GitHub.

github.com

..., "KEKUpdate": "Lenovo/KEKUpdate_Lenovo_PK309.bin",... ,"serial_number": "ebb513d46bb1dc6e",
"issued_to": "CN=Lenovo Ltd. PK CA 2012

Ist der bewußt für T480 und später, funktioniert auf älteren Geräten zur zufällig ohne Support?

Beim T460 gibt es einen besonderern PK Platformkey 'TPCDL-KEK', dazu gibt es kein KEK CA 2023 von Lenovo.
Im Secure Boot Setup Mode kann ein PK geschrieben werden.

Das InstallSecureBootKeys.ps1 Script zusammen mit dem T460 funktioniert nicht, der PK Key wird abgewiesen.

secureboot_objects/scripts/windows at main · microsoft/secureboot_objects

Secure boot objects recommended by Microsoft. Contribute to microsoft/secureboot_objects development by creating an account on GitHub.

github.com

Pete besorgte sich einen T460 und beschreibt dazu Hintergründe.

PK installation fails with Security Violation on Lenovo ThinkPad T460 · Issue #19 · pbatard/Mosby

As referenced in #17 and as reported by @MosbyFan: Mosby v2.9 x64 UEFI v2.40 (Lenovo, 0x00001450) LENOVO R06ET71W (1.45 ) LENOVO 20FMS2C300 Reusing existing MosbyKey.crt certificate... Not installi...

github.com

Mosby (ab V3.0) schreibt einen PK im T460, KEK, DB und DBX. UEFI CA 2023 boot kann dann in Windows aktiviert werden, booten ist auf dem T460 möglich.

Mosby v3.1 x64
UEFI v2.40 (Lenovo, 0x00001450)
LENOVO R06ET71W (1.45 )
LENOVO 20FMS5BA00
...
Installing KEK: 'Microsoft Corporation KEK 2K CA 2023'
Installing PK: 'Mosby Generated PK [2026.05.19]'

linrunner · 5 Juni 2026

Wenn ihr euch mal so richtig gruseln möchtet (und zudem über ein heise+ Abo verfügt), dann lest diesen Artikel:

Secure Boot und seine Probleme

Eigentlich soll Secure Boot vor infizierten Bootmanagern schützen. Doch derzeit kämpft die Funktion vor allem mit Problemen, und zwar mit erschreckend vielen.

www.heise.de

Bitte erst öffnen, nachdem Kinder und Haustiere schlafen ...

Sir Charles82 · 6 Juni 2026

bodu schrieb:
[...]

Ich hab ein T460 da mit W11 Pro laufend. Mir ist die Anleitung (so es denn eine ist) von bodu etwas zu kursorisch, wäre jemand so lieb und würde mir ausdeutschen, was ich zum Update der Secure Boot Zertifikate machen muss?

Hab Event ID 1801, Zertifikate sind am Compi, aber nicht installiert.

Danke!

thickpad · 6 Juni 2026

Warum schaltet ihr Secure Boot überhaupt ein? Oder habt ihr euer BIOS zusätzlich mit einem Passwort geschützt? Ohne BIOS-Passwort geht der Schutz gegen Evil-Maid-Angriffe nämlich gegen null.

Das andere Szenario – dass Schadware unter Windows oder Linux erst Admin-Rechte erlangt und dann den Bootloader manipuliert – ist im Alltag doch eher theoretisch?

Wenn schon, dann muss man den Weg doch komplett gehen: BIOS-Passwort setzen, Boot-Menü (F12) deaktivieren, nur noch den eigenen Bootloader als Start in der Boot-Liste erlauben und dann Secure Boot aktivieren. Sonst ist es halbe Sache.

Wenn dann am besten gleich ein eigenes Enrollment machen (Custom Keys statt Microsoft-Standard), damit wirklich nur der selbst signierte Kernel booten darf. Damit kann ich dann tatsächlich annähernd sicherstellen, dass auf diesem PC nichts anderes bootet als mein Bootloader und der Rechner taugt nur noch zum ausschlachten ohne Freigabe für wen anders.

Sonst ist Secure Boot halt nur nerviges Security Theater wie MS es vorlebt. Wenn ich da was falsch erkannt haben sollte bitte gerne! Aber so wie ich immer sehe das Secure Boot genutzt wird (muss halt an sein weil Secure ist ja gut und sonst ist der Haken bei MS im Security-Center ned da und es ist ein Böser gelber Böppel in der Taskleiste uff der PC ist gefährdet) ist es für mich absolutes Snake Oil

Mornsgrans · 6 Juni 2026

Abgesehen davon wird das T460 eh nicht offiziell von Win11 unterstützt, demzufolge gibt es auch UEFI/BIOS-Update mit den neuen Zertifikaten. Da lassen sich allenfalls die Windows-eigenen Zertifikate installieren, wenn Secure Boot schon aktiv ist.
Prüfung der Zertifikate unter Windows (im Wiki)

bodu · 7 Juni 2026

Sir Charles82 schrieb:
Ich hab ein T460 da mit W11 Pro laufend. ... Update der Secure Boot Zertifikate

Mosby (ab V3.0) schreibt einen PK im T460, KEK, DB und DBX. UEFI CA 2023 boot kann dann in Windows aktiviert werden, ...

Etwas ausführlicher:
Hier gibt es ein T460 20FM mit BIOS 1.45 R06ET71W
Get-SecureBootUEFI -Name PKdefault -Decode : "CN=TPCDL-KEK, OU=TPCDL,"

Pete schrieb auch Rufus und fügte Mosby zu einer UEFI-Shell hinzu. https://github.com/pbatard

Der Author beschreibt unter 'Usage' die Anwendung.
Create a UEFI Shell bootable media: https://github.com/pbatard/Mosby/

Nutze Rufus, download, ISO-Image herunterladen, UEFI Shell 2.2, aktuelles Release z.B. 26H1 (edk2-stable202602), und beschreibe den USB Stick.
Oder nimm die aktuelle UEFI-Shell, z.B. UEFI-Shell-2.2-26H1-RELEASE.iso von https://github.com/pbatard/UEFI-Shell/releases

Setzte im UEFI: Secure Boot | Clear All Secure Boot Keys / Reset to Setup Mode

Lenovo BIOS Simulator Center

download.lenovo.com

Boote vom USB UEFI-Shell Stick, tippe Mosby und bestätige die Vorauswahl, DBX, DB, KEK und PK werden geschrieben.

Schreibe in Windows den CA 2023 Bootloader und sperre CA 2011

CA 2023 bootloader:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Starte den T460 neu.

CA2011 in DBX und aktuelle SVN:
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x282 /f
Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Aktualisiere deine anderen USB Boot Medien, aktualisiere den Bootmager auf CA 2023 SVN * .

merlinedv · 18 Juni 2026

Hallo zusammen,

wir haben hier einige E15 Gen 4 und denen fehlt nach wie vor die Microsoft UEFI CA 2023.
Vantage und MS-Updates sind alle vollständig aktuell.
Die Windows UEFI CA 2023 ist vorhanden.

Muss ich mir Sorgen machen, dass Win11 nächste Woche nicht mehr bootet?
Secureboot ist aktiv.

Beste Grüße,
Manuel

Mornsgrans · 18 Juni 2026

Diesen Thread hast Du schon gelesen?

C

Thema 'Neue Secure Boot Zertifikate Lenovo sagt JA ?'

12 Feb. 2026

Hallo zusammen,

meine Hardware:

ThinkPad T14 Gen1 AMD
1x AMD Ryzen 7 PRO 4750U Processor(Ryzen 7 PRO 4750U)
1x AMD Radeon Graphics
16GB RAM
1x 256GBPCIeNVMeOP

Auf meinem T14 Gen 1 sind noch die alten Secure Boot Zertifikate.
Eine Suche auf der Hersteller Seite ergab, dass Lenovo jedoch auch die ältere Generation bis zu bestimmen Modellreihen mit den neuen Zertifikaten unterstützen möchte....zumindest lese ich das so heraus ;-)

Folgende Info von Lenovo:

Ablauf des Microsoft Secure Boot-Zertifikats 2011 – Lenovo Commercial PCs

Bitte die Seite auf englische darstellen lassen, da...

merlinedv · 18 Juni 2026

ja, danke.
Hilft mir leider nicht, da ich dass git-repo bereits verwendet habe. Aber die Microsoft UEFI CA 2023 fehlt auch danach.

Mornsgrans · 18 Juni 2026

Was sagt den Config - Secure Boot - Key Management im BIOS?
Hast Du die im oben verlinkten Thread auch die entsprechenden Powershell-Skripte ausgeführt um den aktuellen Status zu ermitteln?
Gibt es zu Deinem Problem auch Screenshots/Fotos oder ist es geheim?

Welche BIOS-/UEFI-Version ist jetzt genau bei Dir installiert? - Mindestanforderung sind:

E15 Gen 4	21E6, 21E7	R1SET62W (v1.33)
E15 Gen 4 AMD	21ED, 21EE	R20ET40W (v1.20)

Hast Du auch dieses Skript ausgeführt?

GitHub - cjee21/Check-UEFISecureBootVariables: PowerShell scripts to check the UEFI KEK, DB and DBX Secure Boot variables as well as scripts for other Secure Boot related items.

PowerShell scripts to check the UEFI KEK, DB and DBX Secure Boot variables as well as scripts for other Secure Boot related items. - cjee21/Check-UEFISecureBootVariables

github.com

Themen zusammengeführt

fakiauso · 18 Juni 2026

ReadMe

Letzte BIOS-Version, die für das E15 G4 (hier Intel!) angeboten wird. Zitat daraus:

- MSFT 2023 DB and KEK update

Also vielleicht händisch installieren:

https://download.lenovo.com/pccbbs/mobiles/r1suj63w.exe

Die AMD-Version:

https://download.lenovo.com/pccbbs/mobiles/r20uj47w.exe

Dort sollten die Zertifkate bereits mit der Version 1.20 installiert worden sein.

ReadMe