Windows Secure Boot 安全启动证书即将到期及更新方式

Windows Secure Boot 安全启动证书即将到期及更新方式

自从Windows支持Secure Boot(安全启动)以来,大多数Windows设备在 UEFI 的Secure Boot数据库中,都使用同一系列的Microsoft证书。这批较早期的证书将从2026年开始陆续到期。为了维持开机安全与信任链完整,系统需要更新为2023年版的Microsoft证书。       
如果您的系统目前已启用Secure Boot,请让这批证书于2026年年中到期前完成更新。       
 

Microsoft建议透过Windows update完成Secure Boot certificates证书更新:

对于多数使用者而言,所需更新将透过Windows更新自动推送,无需任何额外操作。更新是否已成功接收,可透过Windows安全性应用程序进行验证,详见其中[Windows安全性应用程序中的安全开机证书更新状态] 的说明。


当[Windows Update]为开启状态,且系统有启用Secure Boot(请参考FAQ: 如何开启Secure Boot)时,支持的Windows设备会在合适的时间,自动下载并应用新版Secure Boot证书与新的Boot Manager。       
新版Secure Boot数据库更新,已自2024年起分阶段释出给启用Secure Boot的设备,并会在2026年6月证书到期前,自动完成设备的更新。       
如下图所示开启Windows Update以取得新的证书。       
 

 

 

常见问题

问题一、如何查看UEFI Secure Boot Keys状态?

答案一、请参考如下步骤:

  1. 在Windows系统搜索框中输入PowerShell。  
    在搜索结果中,点击Windows PowerShell图示,选择以管理员身份运行(Run as Administrator)。  

     

  2. 确认Key Exchange Key (KEK)包含 "Microsoft Corporation KEK 2K CA 2023"。  
    输入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'  
    出现 True 就是有包含 "Microsoft Corporation KEK 2K CA 2023"。  
  3. 确认Signature Databases (DB)包含 "Windows UEFI CA 2023"。  
    输入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'  
    出现 True 就是有包含 "Windows UEFI CA 2023"。  
  4. 确认Signature Databases (DB)包含 " Microsoft UEFI CA 2023"。  
    输入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'  
    出现 True 就是有包含 " Microsoft UEFI CA 2023"。  

 

问题二、如果我的设备在旧证书到期前没有取得新的安全开机证书,会发生什么事?

答案二、安全开机证书过期后,尚未收到新 2023 年证书的设备仍能正常启动并运作,标准 Windows 更新也会继续安装。 然而,这些设备将无法在早期开机过程中获得新的安全防护,包括更新 Windows 开机管理员、安全开机数据库、撤销列表,或针对新发现的开机层级漏洞的缓解措施。

随着时间推移,这限制了设备对新兴威胁的防护,并可能影响依赖安全启动信任的情境,如 BitLocker 强化或第三方启动加载程序。 大多数 Windows 设备会自动收到更新的证书,许多 OEM 厂商也会在需要时提供韧体更新。 保持设备随时更新,有助于确保它能持续获得安全开机设计中所设计的完整安全防护。

 

问题三、关闭安全开机的设备会有什么影响?

答案三、关闭安全开机的设备将不会在韧体中收到新的安全开机证书。 因此,他们仍会受到开机层恶意软件(如 bootkit)的侵害,因为安全启动保护未被强制执行。

 

问题四、在我把韧体重置到默认设置后,设备停止开机——发生了什么事?我该怎么修复?

答案四、如果 Windows 已经使用 2023 签署的开机管理器,但韧体被重置为不包含 Windows UEFI CA 2023 凭证的默认值,安全开机会阻挡开机程序。

可以参考FAQ:

[笔记本电脑] 疑难解答 - 开机时出现Secure Boot Violation

 

问题五、如果我设备的安全开机证书已经过期,我还能收到更新的证书吗?

答案五、是的。 即使现有证书已过期,包含新安全开机证书的累积更新仍可应用。若设备能启动 Windows 并安装更新,则可依照已发布的部署指引将更新的证书写入韧体。 大多数设备会自动收到这些更新,但有些系统可能需要额外的韧体更新。

 

问题六、如果在事件查看器中发现TPM-WMI error message(Event ID: 1801),可以怎么处理?

答案六、出现此error message的原因是安全开机证书已更新,但尚应用到设备韧体上。

请再继续进行Windows Update,从Update history确认是否有更新到 KB5079473或更新的版本。

Windows 11,版本 25H2 更新历史

 

问题七、如果在事件查看器中发现TPM-WMI error message(Event ID: 1802),可以怎么处理?

答案七、出现此error message的原因是开机更新被刻意阻挡,因为设备符合已知的韧体或硬件状况,导致更新无法安全完成。 

请联系华硕客服中心反馈问题。

 

问题八、如果在事件查看器中发现TPM-WMI error message(Event ID: 1803),可以怎么处理?

答案八、出现此error message的原因是此设备无法找到 PK 签署的密钥交换密钥(KEK)。

请联系华硕客服中心反馈问题。

 

 

 

 

Windows 安全启动证书过期和 CA 更新


Windows 安全中心 应用中的安全启动证书更新状态


有关安全启动更新过程的常见问题


安全启动 DB 和 DBX 变量更新事件


Windows 11版本 25H2 更新历史记录