皆さん、こんにちは。
今後数回に渡り、Windows セキュア ブート証明書の有効期限切れ対応のトピックについて取り上げられればと考えています。今回は概要編をお伝えしたいと思います。
もう、ご存じの方も多いかと思いますが、Windows 向けのセキュア ブート (Secure Boot) 証明書の有効期限が 2026 年 6 月から順次有効期限切れとなります。
具体的には、Windows 8 のリリースの際 2011 年に最初に発行されたセキュア ブート証明書の有効期限が 2026 年で有効期限切れとなり、更新対応が必要ということです。
今回の記事では、セキュア ブート証明書の更新作業に伴い、概要をお伝え出来ればと思います。
Windows セキュア ブート証明書の有効期限と CA 更新プログラム – Microsoft サポート
<セキュア ブート (Secure Boot) とは>
セキュア ブートとは、PC 起動時に信頼されたソフトウェア (OS) のみを起動できるようにする仕組みです。PC 起動時に UEFI が起動するソフトウェア (OS) のデジタル署名をチェックして、署名が有効だった場合に起動を許可するものとなります。
セキュア ブート – Microsoft Learn
https://learn.microsoft.com/ja-jp/windows-hardware/design/device-experiences/oem-secure-boot
信頼されたソフトウェア (OS) を検証するのに証明書が使われていますが、その証明書の有効期限が切れるため、事前に証明書を更新する必要があるというのが今回のトピックです。
<セキュア ブート (Secure Boot) 証明書一覧と有効期限>
セキュア ブート (Secure Boot) の各証明書と有効期限をみていきましょう。
Get-SecureBootUEFI という PowerShell コマンドで証明書の詳細を確認出来ます。2026 年 3 月リリースの累積更新プログラムを適用すると -Decoded オプションが追加されていますので、是非、2026 年 3 月リリースの累積更新プログラムを適用されてから確認することをお勧めします。
| 証明書名 (CN) | 証明書の種類 | 有効期間の開始 (ValidFrom) | 有効期間の終了 (ValidTo) |
| Microsoft Corporation KEK CA 2011 | KEK (Key Enrollment Key) | 2011-06-25 05:41:29Z | 2026-06-25 05:51:29Z |
| Microsoft Windows Production PCA 2011 | DB (Secure Boot Signature Database) | 2011-10-20 03:41:42Z | 2026-10-20 03:51:42Z |
Get-SecureBootUEFI -Name KEK -Decoded
Get-SecureBootUEFI -Name DB -Decoded
今回の記事では、概要をお伝えしましたが、今後の記事において、組織内の Windows PC における対応について紹介出来ればと思います。具体的には、組織内の影響度調査 (対応が必要なのか否か)、実際の証明書更新作業、その後の監視などについてです。
Configuration Manager での対応、Microsoft Intune での対応で分けて記事を作成出来ればと考えていますので、記事公開までお待ちください。