微軟在 Windows 11 中替換過期的安全啟動憑證—所有詳情以及如何更新您的憑證

  • 安全啟動可防止底層惡意軟體破壞 Windows 11 啟動程序。
  • 微軟最初的 2011 年安全啟動證書將於 2026 年 6 月到期,而新的 2023 年證書將保護期限延長至 2053 年。
  • 2024 年及以後購買的設備可能已經擁有最新的證書。其他裝置則會透過 Windows 更新逐步取得這些憑證。
  • 您可以使用 PowerShell 檢查憑證狀態,如果更新沒有自動到達,則可以使用登錄機碼調整和排程任務手動更新憑證。

您電腦安全啟動模組的憑證將於 2026 年 6 月到期。從2026 年 1 月的安全性更新開始,微軟已開始逐步推出新的證書,這將使您的電腦能夠繼續正常啟動並接收安全性更新。

Windows 11中,安全啟動是統一可擴充韌體介面 (UEFI) 韌體中的安全功能,可防止在啟動期間對關鍵系統檔案進行未經授權的修改。因此,它確保設備僅使用製造商信任的軟體啟動。

換句話說,安全啟動有助於保護您的裝置免受低階惡意軟體(例如 bootkit 和 rootkit)的侵害,這些惡意軟體可能會感染啟動過程,並在作業系統和防毒軟體載入之前控制您的電腦。

 

了解安全啟動證書

作為此流程的一部分,此功能使用加密金鑰(稱為憑證授權單位 (CA))來驗證韌體模組是否來自可信任來源,從而幫助防止惡意軟體在裝置啟動的早期階段運作。

安全啟動憑證一直都有有效期,因為它們有助於確保您的電腦持續接收安全性更新並正常啟動。因此,您必須在 2026 年 6 月 2011 年的 CA 憑證到期之前安裝 2023 年的憑證。

如果您購買的設備是 2024 年(或之後)生產的,那麼很可能已經安裝了最新的證書。但是,對於其他計算機,微軟目前正在透過 Windows 更新逐步推送新的安全啟動憑證。

在2026年1月13日發布的「2026年1月安全更新 (KB5074109) (26200.7623)」中,這家軟體巨頭指出,此次更新包含一部分高置信度的設備目標數據,用於識別符合條件自動接收新安全啟動證書的設備。設備只有在發出足夠多的成功更新訊號後才會收到新證書,確保安全且分階段的部署。

這意味著除了允許系統繼續接收更新之外,您無需採取任何手動步驟來更新安全啟動。至少從現在到 2026 年 6 月安全性更新發布之前都是如此。

檢查安全啟動憑證到期日期

由於您不會收到電腦已包含最新憑證授權單位的通知,因此檢查您的裝置是否仍需要更新非常重要。

Windows 11 沒有原生指令可以顯示易於理解的韌體到期日。但是,您可以按照以下步驟檢查是否擁有「更新」的 2023 年證書(該證書將取代 2026 年到期的證書):

以管理員身份開啟PowerShell並執行:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • 正確:您已獲得新證書(有效期至 2053 年)。
  • 錯誤:您可能仍在使用 2011 年的憑證(將於 2026 年到期)。

微軟在 Windows 11 中替換過期的安全啟動憑證—所有詳情以及如何更新您的憑證

PowerShell 檢查安全啟動憑證過期時間 / 圖片:Mauro Huculak

幾乎所有現代安全啟動鏈都依賴微軟 2011 年的證書,這些證書的到期日期如下:

  • 微軟公司 KEK CA 2011(2026 年 6 月 24 日)。 
  • Microsoft Corporation UEFI CA 2011(2026 年 6 月 27 日)。
  • Microsoft Option ROM UEFI CA 2011(2026 年 6 月 27 日)。
  • Microsoft Windows 生產 PCA 2011(2026 年 10 月 19 日)。

作為參考,以下是每項證書的具體內容:

  • KEK 憑證:允許更新安全性啟動簽章資料庫 (DB/DBX) 的信任錨。
  • UEFI CA 憑證:信任開機載入程式和韌體元件(包括第三方 EFI 應用程式)的簽章。
  • Option ROM CA:信任韌體選項 ROM 模組。
  • Microsoft Windows Production PCA 2011:確保 Windows 開機載入程式和相關二進位檔案在安全啟動下受到韌體的信任。

更新 Windows 11 上的安全啟動證書

如果您的憑證即將過期,微軟和您的電腦製造商 (OEM) 將透過 Windows 更新或系統更新自動推送韌體更新或「DBX」更新,以註冊新的 2023 年 CA 憑證。但是,您也可以手動更新安全啟動。

警告:在繼續操作之前,請確保您已儲存BitLocker 復原金鑰,並且您的BIOS (UEFI)已更新至最新版本。如果您的電腦韌體不支援新證書,則更新後電腦可能無法啟動。此外,建議您在繼續操作之前建立電腦的完整備份。

以管理員身份開啟PowerShell並執行:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

此命令設定註冊表項,指示作業系統部署所有必要的憑證(包括 PCA 2023 簽署的啟動管理器)。

該值0x5944是「完全緩解」代碼,可啟用所有相關的憑證更新。

Windows 11 內建了一個處理這些憑證變更的任務,您可以使用以下命令手動觸發該任務,從而避免等待 12 小時:

啟動排程任務 -工作名稱 "\Microsoft\Windows\PI\Secure-Boot-Update"

微軟在 Windows 11 中替換過期的安全啟動憑證—所有詳情以及如何更新您的憑證

PowerShell 更新安全啟動憑證 / 圖片:Mauro Huculak

更新通常需要重啟兩次才能完全生效。第一次重新啟動後,系統會更新啟動管理器。第二次重新啟動後,系統會完成 UEFI 資料庫中的憑證註冊。

重新啟動後,您可以透過執行下列PowerShell命令(以管理員身分執行)來驗證資料庫中是否已存在「UEFI CA 2023」:

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

  • 正確:您的系統現在已透過新憑證得到保護。
  • 錯誤:如果多次重新啟動後仍然顯示錯誤,則可能是主機板韌體版本過舊,無法辨識新的憑證格式。請造訪製造商網站,尋找與「安全啟動」相關的 BIOS 更新。

如果 BitLocker 處於活動狀態,您可能需要暫時停用加密Suspend-BitLocker -MountPoint "C:" -RebootCount 2( ),然後韌體才能成功地將新金鑰寫入裝置。

留下評論

微軟表示,Windows 11 將會迎來「重大變革」。

微軟表示,Windows 11 將會迎來「重大變革」。

微軟將於週四宣布 Windows 11 的重大更新,暗示該作業系統將迎來以人工智慧為核心的語音優先體驗。

如何為不支援的硬體建立 Windows 11 啟動 USB 隨身碟

如何為不支援的硬體建立 Windows 11 啟動 USB 隨身碟

要在不支援的硬體上安裝 Windows 11?了解如何使用 Rufus 或 Ventoy 建立可啟動 USB,以繞過 TPM、安全啟動等限制。

如何強制將 Windows 11 從版本 24H2 升級到版本 25H2

如何強制將 Windows 11 從版本 24H2 升級到版本 25H2

若要從 Windows 10 24H2 升級到 25H2,請使用 Windows 更新中的「下載並安裝」選項,或手動安裝 KB5054156 更新。

Windows 11 版本 26300.7674 (KB5074170) 主要著重於錯誤修復,而非新功能(開發版)

Windows 11 版本 26300.7674 (KB5074170) 主要著重於錯誤修復,而非新功能(開發版)

(KB5074170)Windows 11 內部版本 26300.7674 向預覽體驗成員推出,修復了檔案總管、開始、搜尋、圖形問題和已知錯誤。

如何在 Windows 11 上啟用 BitLocker

如何在 Windows 11 上啟用 BitLocker

若要在 Windows 11 上啟用 BitLocker,請開啟儲存設置,選擇 BitLocker 設置,然後啟用該功能。可移動驅動器使用 BitLocker To Go。

如何在 Windows 11 上尋找 BitLocker 復原金鑰

如何在 Windows 11 上尋找 BitLocker 復原金鑰

若要在 Windows 11(或 10)上尋找 PC 的 BitLocker 復原金鑰,請在線上開啟您的 Microsoft 帳戶,並在「裝置」頁面上確認復原。

如何從 macOS 建立 Windows 11(或 10)啟動 USB 隨身碟

如何從 macOS 建立 Windows 11(或 10)啟動 USB 隨身碟

從 macOS 創建 Windows 11(或 10)的 USB 安裝碟比想像中要複雜得多,但並非不可能。以下是具體步驟。

微軟 Edge 瀏覽器對 Windows 10 的支援將於 2028 年 10 月結束。

微軟 Edge 瀏覽器對 Windows 10 的支援將於 2028 年 10 月結束。

Windows 10 上的 Microsoft Edge 瀏覽器至少會持續獲得更新到 2028 年 10 月,遠晚於該作業系統在 2025 年正式停止支援的時間。

如何在 Windows 11 上恢復經典右鍵選單

如何在 Windows 11 上恢復經典右鍵選單

在 Windows 11 中,要還原包含所有選項的經典右鍵上下文選單,您可以透過編輯登錄中的此項目或透過 CMD 進行編輯。

如何徹底擺脫Facebook時間軸(最簡單的方法)

如何徹底擺脫Facebook時間軸(最簡單的方法)

過了一段時間,我開始喜歡上新的Facebook時間線,但對你們中的許多人來說並非如此。過去,有許多方法可以繞過這個問題。