ページの先頭です。
ここから本文です。

技術情報

セキュアブート証明書の更新について

本ページでは、2026年に期限切れとなるセキュアブート証明書について、対象となる証明書・期限切れになった場合の影響・証明書の更新方法を案内しています。
対象となるモデルでは、証明書の期限が切れる前に更新対応を実施することを推奨します。

1.期限切れになる証明書

2026年に期限が切れる証明書は以下の通りです。        
失効する証明書 失効日 格納場所 新しい証明書 用途
Microsoft Corporation KEK CA 2011 2026年6月 KEK Microsoft Corporation KEK 2K CA 2023 DBとDBXのアップデートに署名する
Microsoft Windows Production PCA 2011 2026年10月 DB Windows UEFI CA 2023 Windowsブートローダーに署名するために使用される
Microsoft Corporation UEFI CA 2011 2026年6月 DB Microsoft UEFI CA 2023 サードパーティのブートローダーとEFIアプリケーションに署名する
Microsoft Corporation UEFI CA 2011 2026年6月 DB Microsoft Option ROM UEFI CA 2023 サードパーティのオプションROMに署名する

2.証明書期限切れによる影響

セキュアブート証明書の期限が切れると、ブートコンポーネントに対するセキュリティ修正プログラムを正常に受信・適用できなくなる可能性があります。
その結果、既知の脆弱性に対する対策が適用されない状態が継続するリスクがあります。

3.対象モデル・対象OS

対象モデル
下記のモデルはセキュアブート証明書の更新対象になります。
4.セキュアブート証明書の更新方法を実施してください。
       
カテゴリ モデル
ラックサーバ R110i-1, R110k-1, R110m-1, R110m-1(2nd-Gen)
R110j-1M, R110k-1M, R110k-1M(2nd-Gen)
R120h-1M(3rd-Gen), R120h-2M(3rd-Gen)
R120h-1E(3rd-Gen), R120h-2E(3rd-Gen)
R120i-1M, R120i-2M, R120j-1M, R120j-2M
R120j-1M(2nd-Gen), R120j-2M(2nd-Gen)
タワーサーバ T110i, T110i-S, T110j, T110j-S
T110j(2nd-Gen), T110j-S(2nd-Gen)
T110k, T110k-S, T110m, T110m-S
T110k-M, T110k-M(2nd-Gen)
T120h(3rd-Gen)
低価格エントリモデル(Gモデル) GT110i, GT110j
iStorage NSシリーズ iStorage NS100Tj, iStorage NS100Tk, iStorage NS100Tm
iStorage NS300Rj, iStorage NS500Rj
iStorage NS300Rk, iStorage NS300Rk(2nd-Gen)
iStorage NS500Rk, iStorage NS500Rk(2nd-Gen)

下記のモデルは新しいセキュアブート証明書を保持していますので、セキュアブート証明書の更新は不要です。
5.Windowsブートローダの更新方法を実施してください。
       
カテゴリ モデル
ラックサーバ R110m-1M
R120k-1M, R120k-2M
タワーサーバ T110m(2nd-Gen)、T110m-S(2nd-Gen)
iStorage NSシリーズ iStorage NS500Rm

対象OS
セキュアブート証明書とWindowsブートローダの更新はWindows Server OS上から実施します。
各OSバージョンについての要件は以下の通りです。
 
OS 要件
Windows Server 2025 Standard/Datacenter/Essentials
Windows Server IoT 2025 for Storage 		2025年10月以降のOS累積更新プログラムを適用
セキュアブートが有効
Windows Server 2022 Standard/Datacenter/Essentials
Windows Server IoT 2022 for Storage 		2025年10月以降のOS累積更新プログラムを適用
セキュアブートが有効
Windows Server 2019 Standard/Datacenter/Essentials
Windows Server IoT 2019 for Storage 		2025年11月以降のOS累積更新プログラムを適用
セキュアブートが有効

4.セキュアブート証明書の更新方法

下記の手順でセキュアブート証明書とWindowsブートローダの更新を実施します。
本手順は、システム管理者または保守担当者による作業を想定しています。

  1. レジストリエディターで以下のレジストリ値を設定
    パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
    キー:AvailableUpdates
    値:0x5944 (REG_DWORD)
  2. タスクスケジューラーから\Microsoft\Windows\PI\Secure-Boot-Updateタスクを手動実行
  3. タスク実行後、5分間待機
  4. OSを再起動
  5. OSにログイン後、5分間待機
  6. 手順1で設定したレジストリキーの値が0x0100(もしくは0x4100)/0x0104(もしくは0x4104)になっていることを確認
  7. タスクスケジューラーから\Microsoft\Windows\PI\Secure-Boot-Updateタスクを手動実行
  8. タスク実行後、5分間待機
  9. 手順6でレジストリキーの値が0x0104(もしくは0x4104)になっていた場合、レジストリキーの値が0x0100(もしくは0x4100)になっていることを確認
  10. OSを再起動
  11. 「DB/KEKに格納されている証明書の確認手順」を参照し、DB/KEKに新しい証明書が追加されていることを確認
  12. OSにログイン後、5分間待機
  13. 手順1で設定したレジストリキーの値が0x0000(もしくは0x4000)になっていることを確認
  14. MSページの軽減策の展開ガイドラインの手順2のb~cを参照し、OSブートローダが新しい証明書で署名されていることを確認
DB/KEKに格納されている証明書の確認手順        
カテゴリ モデル
ラックサーバ R110k-1, R110m-1, R110m-1(2nd-Gen)
R110j-1M, R110k-1M, R110k-1M(2nd-Gen)
R120h-1M(3rd-Gen), R120h-2M(3rd-Gen)
R120h-1E(3rd-Gen), R120h-2E(3rd-Gen)
R120i-1M, R120i-2M, R120j-1M, R120j-2M
R120j-1M(2nd-Gen), R120j-2M(2nd-Gen)
タワーサーバ T110k-M, T110k-M(2nd-Gen)
T120h(3rd-Gen)
iStorage NSシリーズ iStorage NS300Rj, iStorage NS500Rj
iStorage NS300Rk, iStorage NS300Rk (2nd-Gen)
iStorage NS500Rk, iStorage NS500Rk (2nd-Gen)
  1. 装置を起動し、POSTでF9キーを押して、システムユーティリティーを起動します。
  2. システムユーティリティの以下のメニューから、証明書の状態を確認します。
    • DBに格納されている証明書
      System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Advanced Secure Boot Options > DB - Allowed Signatures Database > View Signatures
    • KEKに格納されている証明書
      System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Advanced Secure Boot Options > KEK - Key Exchange Key > View KEK Entries
       
カテゴリ モデル
タワーサーバ T110j, T110j-S
T110j(2nd-Gen), T110j-S(2nd-Gen)
T110k, T110k-S, T110m, T110m-S
低価格エントリモデル(Gモデル) GT110j
iStorage NSシリーズ iStorage NS100Tj, iStorage NS100Tk, iStorage NS100Tm

下記のドキュメントを参照し、確認してください。
セキュアブート_DB更新確認手順
セキュアブート_KEK更新確認手順

       
カテゴリ モデル
ラックサーバ R110i-1
タワーサーバ T110i, T110i-S
低価格エントリモデル(Gモデル) GT110i

上記のモデルはBIOS上では確認できませんので、Windows Server OS上から新しい証明書が格納されていることを確認します。
  • DBに格納されている証明書
    以下のPowerShellコマンドすべてでTrueが返ってくることを確認します。
    > [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
    > [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
    > [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft Option ROM UEFI CA 2023'
  • KEKに格納されている証明書
    以下のPowerShellコマンドでTrueが返ってくることを確認します。
    > [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI kek).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'

5.Windowsブートローダの更新方法

下記の手順でWindowsブートローダの更新を実施します。
本手順は、システム管理者または保守担当者による作業を想定しています。
※「4. セキュアブート証明書の更新方法」を実施している場合は本手順は実施不要です。

  1. レジストリエディターで以下のレジストリ値を設定
    パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
    キー:AvailableUpdates
    値:0x0100 (REG_DWORD)
  2. タスクスケジューラーから\Microsoft\Windows\PI\Secure-Boot-Updateタスクを手動実行
  3. タスク実行後、5分間待機
  4. OSを再起動
  5. OSにログイン後、5分間待機
  6. 手順1で設定したレジストリキーの値が0x0000になっていることを確認
  7. MSページの軽減策の展開ガイドラインの手順2のb~cを参照し、OSブートローダが新しい証明書で署名されていることを確認

6.トラブルシューティング

メインボード交換でシステムディスクからOSを起動できない場合

以下の手順で復旧してください。
本手順は、システム管理者または保守担当者による作業を想定しています。
       
カテゴリ モデル
ラックサーバ R110i-1
タワーサーバ T110i, T110i-S, T110j, T110j-S
T110j(2nd-Gen), T110j-S(2nd-Gen)
T110k, T110k-S, T110m, T110m-S
低価格エントリモデル(Gモデル) GT110i, GT110j
iStorage NSシリーズ iStorage NS100Tj, iStorage NS100Tk, iStorage NS100Tm
  1. 下記の『セキュアブート_無効化・規定値リセット手順』の(1)~(5)を参照し、SETUPでセキュアブートを無効化します。
    セキュアブート_無効化・規定値リセット手順
  2. 『セキュアブート_無効・規定値リセット手順』の(6)~(15)を参照し、SETUPでセキュアブートキー(セキュアブートバリアブル)を工場出荷時の規定値にリセットします。
  3. システムディスクからOSを起動します。
    ※保守サービス会社でメインボード交換した場合は、この状態でお客様への引き渡しが行われます。
  4. コマンドプロンプトを管理者として実行し、次のコマンドでEFIシステムブートパーティション内のブートファイルを復元します。
    ※ 本操作は EFI システムパーティション内のファイルを削除します。
        作業前に必ず影響範囲を確認し、必要に応じてバックアップを取得してください。
        > mountvol s: /s
        > del s:\*.* /f /s /q
        > bcdboot %systemroot% /s S:
  5. 「ブートファイルが正常に作成されました」というメッセージを確認後、OSを再起動します。
  6. 下記の『セキュアブート有効化手順』を参照し、SETUPでセキュアブートを有効化します。
    セキュアブート有効化手順
  7. OSを起動後、既に適用済みの累積プログラムに含まれるセキュアブートキーを有効化します。
    • レジストリエディターで以下のレジストリ値を設定
      パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
      キー:AvailableUpdates
      値:0x8003 (REG_DWORD)
    • タスクスケジューラーから\Microsoft\Windows\PI\Secure-Boot-Updateタスクを手動実行
    • 変更したレジストリ値が0x0000に戻っていることを確認
  8. 4.セキュアブート証明書の更新方法を実施します。
       
カテゴリ モデル
ラックサーバ R110k-1, R110m-1, R110m-1(2nd-Gen)
R110j-1M, R110k-1M, R110k-1M(2nd-Gen)
R120h-1M(3rd-Gen), R120h-2M(3rd-Gen)
R120h-1E(3rd-Gen), R120h-2E(3rd-Gen)
R120i-1M, R120i-2M, R120j-1M, R120j-2M
R120j-1M(2nd-Gen), R120j-2M(2nd-Gen)
タワーサーバ T110k-M, T110k-M(2nd-Gen)
T120h(3rd-Gen)
iStorage NSシリーズ iStorage NS300Rj, iStorage NS500Rj
iStorage NS300Rk, iStorage NS300Rk (2nd-Gen)
iStorage NS500Rk, iStorage NS500Rk (2nd-Gen)
  1. 以下の手順でセキュアブートを無効化します。
    • 装置を起動し、POSTでF9キーを押して、システムユーティリティーを起動します。
    • システムユーティリティの以下のメニューをDisableに変更してセキュアブートを無効化します。
      System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Attempt Secure Boot
    • 変更後、F12キーを押して、設定を保存して装置を再起動します。
  2. システムディスクからOSを起動します。
    ※保守サービス会社でメインボード交換した場合は、この状態でお客様への引き渡しが行われます。
  3. コマンドプロンプトを管理者として実行し、次のコマンドでEFIシステムブートパーティション内のブートファイルを復元します。
    ※ 本操作は EFI システムパーティション内のファイルを削除します。
        作業前に必ず影響範囲を確認し、必要に応じてバックアップを取得してください。
        > mountvol s: /s
        > del s:\*.* /f /s /q
        > bcdboot %systemroot% /s S:
  4. 「ブートファイルが正常に作成されました」というメッセージを確認後、OSを再起動します。
    • 装置を起動し、POSTでF9キーを押して、システムユーティリティーを起動します。
    • システムユーティリティの以下のメニューをEnableに変更してセキュアブートを有効化します。
      System Configuration > BIOS/Platform Configuration (RBSU) > Server Security > Secure Boot Settings > Attempt Secure Boot
    • 変更後、F12キーを押して、設定を保存して装置を再起動します。
  6. OSを起動後、既に適用済みの累積プログラムに含まれるセキュアブートキーを有効化します。
    • レジストリエディターで以下のレジストリ値を設定
      パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
      キー:AvailableUpdates
      値:0x8003 (REG_DWORD)
    • タスクスケジューラーから\Microsoft\Windows\PI\Secure-Boot-Updateタスクを手動実行
    • 変更したレジストリ値が0x0000に戻っていることを確認
  7. 4.セキュアブート証明書の更新方法を実施します。

メインボード交換でシステムディスクからOSを起動できた場合

※保守サービス会社でメインボード交換した場合は、この状態でお客様への引き渡しが行われます。

  1. OSを起動後、既に適用済みの累積プログラムに含まれるセキュアブートキーを有効化します。
    • レジストリエディターで以下のレジストリ値を設定
      パス:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
      キー:AvailableUpdates
      値:0x8003 (REG_DWORD)
    • タスクスケジューラーから\Microsoft\Windows\PI\Secure-Boot-Updateタスクを手動実行
    • 変更したレジストリ値が0x0000に戻っていることを確認
  2. 「DB/KEKに格納されている証明書の確認手順」を参照し、DB/KEKに格納されている証明書を確認します。
    新しいセキュアブート証明書がすべて格納されていない場合には、4.セキュアブート証明書の更新方法を実施します。

製品名カテゴリ

T110i
T110i-S
GT110i
R110i-1
T110j-S
T110j
T110j-S (2nd-Gen)
T110j (2nd-Gen)
GT110j
R120h-1M (3rd-Gen)
R120h-2M (3rd-Gen)
R110j-1M
R120h-1E (3rd-Gen)
T120h (3rd-Gen)
R120h-2E (3rd-Gen)
NS500Rj
T110k-S
T110k
NS100Tj
R120i-1M
R120i-2M
NS300Rj
R110k-1
NS100Tk
R120h-1M (3rd-Gen) [2022年発売モデル]
R120h-2M (3rd-Gen) [2022年発売モデル]
T110m-S
T110m
R120j-1M
R120j-2M
R110k-1M
T110k-M
R110m-1
R120j-2M (2nd-Gen)
R120j-1M (2nd-Gen)
NS500Rk
NS300Rk
R110k-1M (2nd-Gen)
T110k-M (2nd-Gen)
T110m-S (2nd-Gen)
T110m (2nd-Gen)
NS100Tm
R110m-1 (2nd-Gen)
R120k-1M
R120k-2M
R110m-1M
NS300Rk (2nd-Gen)
NS500Rk (2nd-Gen)
NS500Rm
Windows Server 2019
Windows Server 2022
Windows Server 2025

  • コンテンツID: 3140110352
  • 公開日: 2026年03月06日
  • 最終更新日:2026年03月06日
ここからページ共通メニューです。 ページ共通メニューを読み飛ばす。
ページ共通メニューここまで。