Neue Secure Boot Zertifikate Lenovo sagt JA ?

Chri5

New member
Themenstarter
Registriert
12 Feb. 2026
Beiträge
12
Hallo zusammen,

meine Hardware:

ThinkPad T14 Gen1 AMD
1x AMD Ryzen 7 PRO 4750U Processor(Ryzen 7 PRO 4750U)
1x AMD Radeon Graphics
16GB RAM
1x 256GBPCIeNVMeOP

Auf meinem T14 Gen 1 sind noch die alten Secure Boot Zertifikate.
Eine Suche auf der Hersteller Seite ergab, dass Lenovo jedoch auch die ältere Generation bis zu bestimmen Modellreihen mit den neuen Zertifikaten unterstützen möchte....zumindest lese ich das so heraus ;-)

Folgende Info von Lenovo:

Ablauf des Microsoft Secure Boot-Zertifikats 2011 – Lenovo Commercial PCs

Bitte die Seite auf englische darstellen lassen, da in der übersetzten deutschen Seite keine Liste der Modell Reihe angezeigt wird.

Wie man dort sehen kann, wird die T14 Gen1 Reihe für AMD und INTEL mit einem BIOS bedacht, welches die neuen Zertifikate für KEK CA 2011, PCA 2011 und CA 2011 einspielen soll.

In meinem Fall:

T14 Gen 1 AMD20UD, 20UER1BET85W (v1.54)

Kurioserweise zeigt der Link zur v1.54 jedoch nur alle Versionen bis 1.53 an:

Verlinkte BIOS Versionen für das Modell

Eine 1.54 wird auf der Produktseite nirgendwo erwähnt.

Die Frage ist nun, warum teilt Lenovo auf der Seite zum Thema Secure Boot Zertifikat, für die T14er Reihe eine BIOS in Version 1.54 mit, aber gibt für diese auf der verlinkten Produktseite keine genaueren Infos zum Stand?

Soll das nun noch etwas kommen oder bleibt die T14er Reihe hier außen vor ?

Was passiert eigentlich mit den Windows Installationen, die mit Secure Boot unter den alten Zertifikaten erstellt wurden ab Juli 26?


Habt ihr zum erwähnten 1.54 Update irgendwelche Infos?



Danke im Voraus.
 
Zuletzt bearbeitet von einem Moderator:
Update:

"Neues" T14s Gen 1 AMD Board eingebaut, ohne Secure Boot über einen Rufus Stick Windows 11 24H2 installiert, während der Laufzeit Secure Boot aktiviert, startete weiter.
Hatte allerdings nach Installation aller Updates (inkl. BIOS) nur die alten Secure Boot Zertifikate aktiv, Windows startete trotzdem, zeigte im Sicherheitsmenü die Meldung, dass eine ältere SecureBoot Konfiguration verwendet wird.

Auch hier hat ein Factory Reset der Secure Boot Keys Abhilfe geschaffen.

Wiki ist noch nicht akutalisiert, es lässt mich nicht mehr rein, Passwort zu oft falsch eingegeben, muss erstmal warten x)
 
Woher kommt denn der Gedanke, also was ist deine Berüchtung woher das kommt?

Wenn der Key ausgetauscht ist, bootet es vom neuen Key, wird halt nur doof, wenn du ein Board ohne die neuen keys verbaust.
Scheinbar bootet es auch mit Secure Boot und abgelaufenen alten Keys, sofern diese im OS noch hinterlegt sind, das war jetzt nach Einbau eines "neuen" Boards mit alten Keys und Neuinstallation.

Einzig offen in meinen Augen ist ein neues Board mit alten Keys und original Windows 11 25H2 vollgepatched per Media Creation Tool.
 
Hütet euch bitte vor einem grundlegenden Missverständnis: die MS Zertifikate, die gerade abgelaufen sind, dienen zum Signieren von Bootloadern. Ihr Ablauf heisst lediglich, dass damit keine neuen Bootloader mehr signiert werden können. Das bedeutet nicht, dass damit signierte alte Bootloader vom UEFI-BIOS (per Secure Boot) nicht mehr gestartet werden können.

Die Installation der neuen MS Zertifikate sorgt dafür, dass damit signierte neue Bootloader, z.B. aus MS Updates, lauffähig werden. MSs Updatemechanismus sollte dafür sorgen, dass erst die neuen Zertifikate da sind, bevor der Bootloader dran ist.

Eine Sperre der mit den alten Zertifikaten signierten Bootloader soll es erst zu einem viel späteren, von MS noch nicht festgelegten Termin geben.

Vertrackt ist, dass es zwei Wege für die Zertifikate-Updates gibt: BIOS-Updates und MS Updates.

Am Besten lest ihr (so Abo vorhanden) die Artikelstrecke bei heise:

Falls euch nach dem ersten Durchlesen der Kopf raucht, mit Abstand so oft wiederholen bis es klarer wird. Ging mir bisher schon mehrfach so.
 
Zuletzt bearbeitet:
Boot-Chaos T530
Ich hab ein altes T530 mit Win 10 22H2, ESU-Programm, BIOS/UEFI ist das letzte, 2.77. Das lief völlig problemlos bis zum letzten Windows-Update (KB 5099539). Secure Boot war eingeschaltet, nach dem Neustart im Zuge der automatischen Installation startete es nicht mehr, sondern zeigte nur noch den Boot-Manager an.

Ursache war offensichtlich der erfolglose Versuch von Windows, ein neues CA 2023 ins UEFI zu schreiben. Die bisher einzige Lösung ist : Secure Boot abschalten. Erst dann funktionierte das Booten mit Windows wieder.

Eine Lösung, das Zertifikat manuell zu implementieren, kenne ich bisher nicht. Oben wird allerdings irgendwo behauptet, selbst das T530 liefe mit CA 2023 - hab aber keine Ahnung wie.
 
habe anderswo im Netz in einem Beitrag über Probleme bei der Secure Boot Zertifikat Installation bzw wenn diese nicht kommen wollten, einen Link zu einem Tool aus Github gesehen, welches die Zertifikate automatisch installiert.

Ich stell mal den Link ein:

Da Github und es daher transparent sein sollte, was das Tool macht, sollte es wenig Bedenken dazu geben.
Wenn doch, bitte ich um Info bzw Mod-Edit um den Link zu entfernen.
 
Ich hab ein altes T530 mit Win 10 22H2, ESU-Programm, BIOS/UEFI ist das letzte, 2.77. Das lief völlig problemlos bis zum letzten Windows-Update (KB 5099539). Secure Boot war eingeschaltet, nach dem Neustart im Zuge der automatischen Installation startete es nicht mehr, sondern zeigte nur noch den Boot-Manager an.

Ursache war offensichtlich der erfolglose Versuch von Windows, ein neues CA 2023 ins UEFI zu schreiben. Die bisher einzige Lösung ist : Secure Boot abschalten. Erst dann funktionierte das Booten mit Windows wieder.

Eine Lösung, das Zertifikat manuell zu implementieren, kenne ich bisher nicht. Oben wird allerdings irgendwo behauptet, selbst das T530 liefe mit CA 2023 - hab aber keine Ahnung wie.

Auf Maschinen, die nicht per BIOS-Update hochgewuppt werden, installiert MS Update die Zertifikate und das lässt sich zumindest überprüfen:


Selbst ohne gültiges Zertifikat sollte das Booten aber weiterhin möglich sein (Zitat aus diesem Artikel):

Ihr Gerät funktioniert noch einige Zeit normal. Nach Ablauf der aktuellen Zertifikate für den sicheren Start kann Ihr Gerät jedoch im Laufe der Zeit möglicherweise keine Sicherheitsupdates mehr erhalten, die den Windows-Startprozess schützen. Dies kann auch zu Kompatibilitätsproblemen führen, da neuere Betriebssysteme, Firmware, Hardware oder softwareabhängiger sicherer Start möglicherweise nicht geladen werden können. Die Windows-Sicherheit-App führt Sie zu den nächsten Schritten.

Weitere Hinweise finden sich hier:


Eine weitere Möglichkeit wäre ein Zurücksetzen der Keys und ein erneuter Versuch, das Update installieren zu lassen:


Oder Du besitzt eine Live-Linux und versuchst das Installieren mittels fwupdmgr, hier für Debian erklärt. Es sollte aber sinngemäß auch mit anderen Systemen ähnlich laufen:


Voraussetzung ist dabei, dass die Kiste mit aktivem SecureBoot unterwegs ist.
 
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben