При создании загрузочной флешки для Windows 11 (версии 25H2 и новее) Rufus предлагает включить опцию Use Windows CA 2023 signed bootloaders. Она заставляет программу использовать загрузчики, подписанные новым сертификатом Windows CA 2023 вместо старого Windows Production PCA 2011.
Почему появился новый сертификат
| Параметр | Что происходит | Последствия |
|---|---|---|
| Windows Production PCA 2011 | Срок действия истекает в июле 2026 г. | После истечения сертификат будет помещён в DBX (список запрещённых) UEFI, и Secure Boot откажет в загрузке образов, подписанных им. |
| Windows CA 2023 | Новый сертификат уже включён в DB (разрешённые) большинства современных UEFI‑платформ. | Загрузчики, подписанные им, работают без ошибок Secure Boot. |
Как работает опция в Rufus
- Включена - Rufus записывает на флешку загрузчики, подписанные сертификатом CA 2023. Это гарантирует, что установка пройдёт без "Secure Boot Violation", но только если ваш UEFI уже содержит этот сертификат в базе DB.
- Выключена - Rufus оставит старые загрузчики (PCA 2011). Они работают, пока сертификат не будет занесён в DBX; после обновления BIOS/UEFI или Windows они могут перестать работать.
Как проверить наличие сертификата в UEFI
Откройте PowerShell от имени администратора и выполните:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI -Name db).Bytes) -match "Windows UEFI CA 2023"
True- сертификат уже есть, опцию можно включать.False- сертификата нет, включение приведёт к ошибке Secure Boot.
Что делать, если сертификата нет
- Не включать опцию и установить Windows 11 обычными загрузчиками; позже Windows сама обновит DB.
- Самостоятельно добавить сертификат в UEFI (см. инструкции по загрузке сертификатов в BIOS/UEFI) и только после этого включить опцию.
- Отключить Secure Boot в UEFI, если вам нужно установить систему сразу же, но это снижает уровень защиты.
Когда стоит включать опцию
- Вы уверены, что целевая машина уже содержит сертификат CA 2023 (например, новейший ноутбук или недавно обновлённый BIOS).
- Флешка предназначена для одного конкретного компьютера, а не для широкого распространения.
Когда лучше оставить её выключенной
- Вы собираете образ для разных машин, у которых статус сертификата неизвестен.
- Не хотите рисковать ошибкой загрузки и готовы ждать автоматических обновлений Windows/BIOS.
Итого: опция "Use Windows CA 2023 signed bootloaders" позволяет подготовить флешку, полностью совместимую с будущим Secure Boot, но её включать стоит только после подтверждения наличия нового сертификата в UEFI. Если сертификат отсутствует, лучше оставить опцию выключенной или добавить сертификат вручную.