AGGIORNA IL CERTIFICATO UEFI ALTRIMENTI WINDOWS 11 NON SI AVVIERÀ PIÙ

Ciao a tutti e bentornati sul canale !!! Qualche settimana fa avevamo fatto un video su come installare il nuovo certificato UEFI CA 2023 visto che nel 2026 scadrà il vecchio certificato CA 2011, altrimenti Windows 11 se avete il Secure boot attivo potrebbe non avviarsi più.

Però alcuni utenti ci hanno scritto che non sono riusciti ad installare il nuovo certificato CA 2023 perché dalla riga di comando di verifica continuava ad essere riportato false. Ma non preoccupatevi perché c’è anche un altro metodo per installare il nuovo certificato UEFI CA 2023 ed è tramite procedura manuale direttamente nel BIOS/UEFI. Questa procedura oltre ad essere utile per chi non riesce ad installare il nuovo certificato CA 2023 è utile anche per chi ha già installato il nuovo certificato ma ha resettato il BIOS/UEFI o le chiavi del Secure boot, perché ,quando vengono resettati, le chiavi/certificati presenti sulla scheda madre vanno persi e ciò impedisce l’avvio di Windows 11.

!!! ATTENZIONE !!!
Le procedure mostrate in questa guida richiedono un BIOS/UEFI che supporti la modifica delle chiavi/certificati presenti nel secure boot del BIOS/UEFI. Generalmente questa modalità che permette la modifica delle chiavi/certificati si chiama modalità “custom” ed è presente nella sezione dedicata del Secure Boot. Inoltre le procedure d’installazione potrebbe differire da UEFI a UEFI. Infine ricordiamo che modifiche errate al BIOS/UEFI e Secure Boot potrebbero comportare parecchi problemi, anche se di solito per risolverli basta resettare il BIOS/UEFI alle impostazioni di fabbrica, in ogni caso non ci assumiamo alcuna responsabilità per problemi derivati da modifiche errate al BIOS/UEFI o Secure Boot.

COME INSTALLARE MANUALMENTE IL NUOVO CERTIFICATO UEFI CA 2023 NEL SECURE BOOT SULLA SCHEDA MADRE
-1) Innanzitutto la prima cosa che bisogna fare è collegarsi al sito ufficiale Microsoft per scaricare il certificato UEFI CA 2023.

-2) Aperto il sito scorrete la pagina fino alla voce “Chiavi necessarie per l’avvio protetto in tutti i PC“. Qui sono disponibili 3 certificati da scaricare:

PKpub: Questo certificato non è obbligatorio installarlo perché normalmente il produttore della scheda madre ne ha già installato uno, in ogni caso è possibile sostituire il certificato del produttore della scheda madre con questo fornito da Microsoft. Noi lo scaricheremo lo stesso perché poi vi mostreremo come installarlo.

Microsoft Corporation KEK 2K CA 2023: Anche questo certificato non sarebbe obbligatorio installarlo visto che nemmeno la procedura ufficiale Microsoft che abbiamo mostrato nel video di poche settimane fa lo installa. Comunque noi abbiamo preferito lo stesso installarlo infatti poi vi mostreremo come fare.

WINDOWS UEFI CA 2023: è il certificato più importante infatti è obbligatorio installarlo perché è quello che permette a Windows 11 di avviarsi.

-3) Dopo aver scaricato i certificati dovrete copiarli su una chiavetta USB formattata con il file system FAT32, se così non fosse il BIOS/UEFI potrebbe non riuscire a rilevare i certificati presenti su di essa.

-4) Copiati i certificati sulla chiavetta USB bisognerà spegnere il PC.

-5) Spento il PC si dovrà accendere il PC ed entrare nel BIOS/UEFI, i tasti da premere per entrare nel BIOS variano a seconda del produttore della scheda madre ma di solito sono CANC o F2.

-6) Quando sarete entrati nel BIOS/UEFI recatevi alla sezione “Security“

-7) Nella sezione “Security” selezionate la voce “Secure Boot“

-8) Entrati nel Secure boot controllate in primis che sia attivo e poi verificate che la modalità “Custom” sia attiva.

-9) Controllato che tutto sia attivo selezionate la voce “key management“.

-10) A questo punto si può iniziare con l’installazione dei certificati, il primo che installeremo è la Platform Key. Ripetiamo che questo certificato è facoltativo da installare.

Comunque premete invio sulla voce “Platform Key(PK)” (su alcune schede madri potrebbe chiamarsi PK Management).
Selezionate update
Se vi chiede di ripristinare le chiavi allo stato di fabbrica selezionate NO.
Adesso selezionate la chiavetta USB dove sono presenti i certificati.
Poi dopo aver selezionato la chiavetta USB dovrete selezionare il certificato denominato Windows oem devices pk.cer
A questo punto in input file format selezionate Public Key Certificate e selezionate YES per confermare l’installazione.
Se tutto è andato bene vi comparirà il messaggio di buona riuscita.

-11) Completata l’installazione della Platform Key passiamo all’installazione del certificato KEK che di per se non è obbligatorio ma noi abbiamo preferito installarlo.

Per cui selezionate la voce “Key Exchange Keys” (su alcune schede madri potrebbe chiamarsi KEK Management).
Selezionate Append dal menù.
Anche in questo caso se vi chiede di ripristinare le chiavi allo stato di fabbrica selezionate NO.
Dopodiché selezionate la chiavetta USB.
Infine selezionate il certificato Microsoft Corporation KEK 2K CA 2023.crt.
Giunti in input file format selezionate Public Key Certificate, poi selezionate YES per confermare l’installazione.
Se tutto è andato per il meglio vi comparirà il messaggio di buona riuscita.

-12) L’ultimo certificato che andremo ad installare è il più importante e obbligatorio ed è proprio il nuovo certificato UEFI CA 2023.

Per installarlo selezionate la voce “Authorized signatures” ((su alcune schede madri potrebbe chiamarsi PB Management).
Selezionate Append dal menù.
Anche in questo ulteriore caso se vi chiede di ripristinare le chiavi allo stato di fabbrica selezionate NO.
Poi selezionate la chiavetta USB.
Dopodiché selezionate il certificato windows uefi ca 2023.crt.
In conclusione in input file format selezionate Public Key Certificate e selezionate YES per confermare l’installazione.
Se tutto è andato secondo i piano vi comparirà il messaggio di buona riuscita.

-13) Concluso con l’installazione dei vari certificati bisognerà uscire dal Secure Boot e infine salvare le modifiche appena effettuate.

-14) Se volete essere sicuri al 100% che il certificato si sia installato correttamente, potete verificarlo aprendo PowerShell come amministratore e digitando questa riga di comando:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match ‘Windows UEFI CA 2023’

Se vi compare “True” vuol dire che il certificato è installato correttamente nel secure boot sulla scheda madre.

In alternativa un metodo per controllare che il certificato UEFI CA 2023 sia installato è controllare direttamente nel Secure Boot, selezionando la voce Authorized Signatures, poi nel menù recandosi su Details, qui vi comparirà il nuovo certificato UEFI CA 2023. Questi passaggi per controllare che i certificati siano installati potete farli su ogni voce. Sfortunatamente però alcune schede madri non danno la possibilità di controllare quali sono i vari certificati installati.

Parlando un attimo di questo metodo per installare il nuovo certificato UEFI CA 2023 è quello più sicuro e affidabile, infatti generalmente anche le schede madri più vecchie non hanno problemi con questo metodo, noi lo abbiamo installato anche su una vecchia scheda madre ASUS del 2012. Per chi non avesse una scheda madre su cui è possibile installare manualmente i certificati potete creare una chiavetta USB EFI shell con Rufus e poi usare Mosby per installare i certificati, sul sito ufficiale GitHub c’è la guida su come installare i certificati. Però questo tipo di procedura non è garantito che funzioni, infatti ripetiamo il metodo più affidabile e sicuro è installare i certificati manualmente direttamente nel BIOS/UEFI.
In ogni caso più avanti faremo il video su Mosby.

COME INSTALLARE IL NUOVO BOOT MANAGER COMPATIBILE CON IL CERTIFICATO CA 2023
Dopo che avrete installato il certificato UEFI CA 2023 nel secure boot non vi resterà altro che installare il nuovo boot manager, per installarlo potete seguire le procedure che avevamo mostrato nel video di poche settimane fa a partire dal minuto 3:53.
Mentre chi in precedenza aveva già installato il nuovo boot manager compatibile con il certificato CA 2023, ma poi ha resettato il BIOS/UEFI o i certificati del secure boot, non serve che reinstalli il nuovo boot manager. Bisognerà solamente inserire nuovamente il vecchio certificato CA 2011 nella lista dei proibiti come avevamo mostrato nel precedente video di poche settimane fa al minuto 5:58.

CONCLUSIONE
Sperando che la guida vi sia stata d’aiuto vi aspettiamo la prossima settimana per nuovi video, inoltre se vi è piaciuto questo video ricordatevi di mettere Like e iscrivervi al nostro canale YouTube, per noi è molto importante perché ci date una mano a farlo crescere. Grazie.

I miei ultimi articoli

CON QUESTO TOOL POTRAI FARE IL DEBLOAT E L'OTTIMIZZAZIONE DI WINDOWS IN POCHI SEMPLICI CLICK !!!

COME INSTALLARE WINDOWS 11 25H2 SU PC NON SUPPORTATI CON RUFUS 4.14

RECUPERA DOCUMENTI IMMAGINI AUDIO VIDEO CANCELLATI CON IL TOOL GRATIS PHOTOREC

I CONSIGLI UFFICIALI MICROSOFT PER NON ROVINARE DANNEGGIARE WINDOWS 11 (Seconda parte)

AGGIORNA IL CERTIFICATO UEFI ALTRIMENTI WINDOWS 11 NON SI AVVIERÀ PIÙ