如何在 Windows 11（和 10）上安裝 2023 年安全啟動證書，以免在 2026 年到期前遺失

2011 年頒發的 Windows 11（和 10）安全啟動憑證將於 2026 年 6 月到期。
2024 年及以後生產的 PC 通常包含 2023 年的認證證書。較舊的系統可能需要手動更新。
這些說明可以幫助您檢查證書詳細資訊並手動安裝 2023 年證書。

在Windows 11和 Windows 10 系統中，微軟正透過標準系統更新逐步驗證和更新安全性啟動憑證。大多數情況下，您只需按月安裝安全性更新，即可確保您的裝置在 2026 年 6 月截止日期前準備就緒。

但是，如果您想自行驗證或套用最新的 2023 版安全啟動證書，您可以手動完成此程序。本指南將引導您完成這些步驟。

安全啟動是整合在統一可擴充韌體介面 (UEFI) 中的一項韌體級安全功能。它確保設備僅使用經過授權證書頒發機構數位簽章和信任的軟體啟動。透過在作業系統載入之前驗證引導程式和韌體元件，安全啟動有助於防止 rootkit 和其他底層惡意軟體破壞啟動過程。

為了實現這種保護，安全啟動依賴被稱為憑證授權單位 (CA) 的加密金鑰。這些金鑰在韌體和作業系統之間建立信任鏈，從而在啟動初期阻止未經簽署或篡改的程式碼。

與所有數位憑證類似，安全啟動憑證授權單位也存在有效期限。最初的 2011 年證書將於 2026 年 6 月到期。系統必須在此日期之前安裝更新後的 2023 年證書，以避免信任驗證錯誤、啟動問題或未來更新接收中斷等情況。

2024 年或之後生產的電腦通常在出廠時已預先安裝 2023 年的證書。對於較舊的硬件，微軟會透過 Windows 更新推送更新後的證書，作為持續安全維護的一部分，但您也可以手動安裝和取代新證書。

在本指南中，我將概述在 Windows 11 裝置上檢查和手動更新安全啟動憑證的簡單步驟。

重要提示：雖然此過程不會破壞數據，但仍建議您在操作前對電腦進行完整備份。特此警告。

在 Windows 11 上安裝 2023 年安全啟動證書

如果 BitLocker 已啟用，您必須先在 PowerShell 中暫時停用加密，Suspend-BitLocker -MountPoint "C:" -RebootCount 2韌體才能成功將新金鑰寫入裝置。此外，在繼續操作之前，請確保您的電腦已完全更新至 2026 年 2 月安全性更新 (KB5077181) 或更高版本。

若要在 2026 年到期前更新安全啟動證書，請依照下列步驟操作：

打開開始。
搜尋PowerShell（或終端機），以滑鼠右鍵按一下第一個搜尋結果，然後選擇「以管理員身分執行」選項。
輸入以下命令以確認裝置正在使用啟用了安全啟動的 UEFI，然後按 Enter 鍵：

確認安全啟動UEFI

簡要說明：如果輸出結果為“True”，您可以繼續執行下列步驟。否則，您需要啟用安全啟動。如果您使用的是 Windows 10，甚至可能需要從傳統 BIOS 切換到 UEFI。
輸入以下指令檢查安全啟動憑證的到期日期，然後按Enter 鍵：

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
（輸出 1）如果輸出為“True”，則表示您已獲得新憑證（有效期至 2053 年）。停止操作，不要繼續。
（輸出 2）如果輸出為“False”，則您可能仍在使用 2011 年的憑證（將於 2026 年到期）。請繼續執行以下步驟。
輸入以下命令以設定註冊表項，從而部署所有必要的證書，然後按Enter 鍵：

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f
輸入以下命令手動觸發證書更改，然後按Enter 鍵：

啟動排程任務 -工作名稱 "\Microsoft\Windows\PI\Secure-Boot-Update"
重啟電腦一次。
再次重新啟動設備，然後繼續執行憑證檢查程序。

簡要說明：此更新通常需要重新啟動兩次才能完全生效。第一次重新啟動後，系統會更新啟動管理器。第二次重新啟動後，系統會完成 UEFI 資料庫中的憑證註冊。
打開開始。
搜尋PowerShell（或終端機），以滑鼠右鍵按一下第一個搜尋結果，然後選擇「以管理員身分執行」選項。
輸入以下指令檢查更新是否成功完成，然後按下Enter 鍵：

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

完成上述步驟後，如果輸出結果為“True”，則表示新憑證（有效期至2053年）已成功安裝到您的電腦上。如果輸出結果為“False”，則表示憑證安裝不正確。

需要注意的是，「True」表示已註冊2023年證書頒發機構，但並非所有情況下都會立即移除2011年證書。某些系統可能會暫時同時顯示這兩張憑證。

如果執行該程序後輸出仍然為“False”，請檢查事件檢視器>應用程式和服務日誌> Microsoft > Windows > SecureBoot-Update是否有錯誤。此外，執行Get-ScheduledTask -TaskName "Secure-Boot-Update"命令確認計劃任務是否存在。

更新後，如果您必須停用 BitLocker，您可以透過執行Resume-BitLocker -MountPoint "C:"命令來恢復加密，儘管它會-RebootCount 2在兩次重新啟動後自動恢復。

需要注意的是，2023 年安全啟動憑證並非憑空而來。微軟會將這些新憑證包含在 Windows 服務更新中，通常是作為 Windows 11 和受支援的 Windows 10 裝置的累積更新或安全性更新的一部分。

事實上，該公司自2026 年 2 月安全更新（及更高版本）發布以來，就一直在使用新的安全啟動憑證。

這些憑證稱為 Windows UEFI CA 2023，由微軟進行數位簽名，並受到安全啟動的信任。

如果您的電腦上已有證書，這些說明將幫助您立即套用它們，而無需等待系統自動處理更新。