微軟在 Windows 11 中替換過期的安全啟動憑證—所有詳情以及如何更新您的憑證

• 安全啟動可防止底層惡意軟體破壞 Windows 11 啟動程序。
• 微軟最初的 2011 年安全啟動證書將於 2026 年 6 月到期，而新的 2023 年證書將保護期限延長至 2053 年。
• 2024 年及以後購買的設備可能已經擁有最新的證書。其他裝置則會透過 Windows 更新逐步取得這些憑證。
• 您可以使用 PowerShell 檢查憑證狀態，如果更新沒有自動到達，則可以使用登錄機碼調整和排程任務手動更新憑證。

您電腦安全啟動模組的憑證將於 2026 年 6 月到期。從2026 年 1 月的安全性更新開始，微軟已開始逐步推出新的證書，這將使您的電腦能夠繼續正常啟動並接收安全性更新。

在Windows 11中，安全啟動是統一可擴充韌體介面 (UEFI) 韌體中的安全功能，可防止在啟動期間對關鍵系統檔案進行未經授權的修改。因此，它確保設備僅使用製造商信任的軟體啟動。

換句話說，安全啟動有助於保護您的裝置免受低階惡意軟體（例如 bootkit 和 rootkit）的侵害，這些惡意軟體可能會感染啟動過程，並在作業系統和防毒軟體載入之前控制您的電腦。

了解安全啟動證書

作為此流程的一部分，此功能使用加密金鑰（稱為憑證授權單位 (CA)）來驗證韌體模組是否來自可信任來源，從而幫助防止惡意軟體在裝置啟動的早期階段運作。

安全啟動憑證一直都有有效期，因為它們有助於確保您的電腦持續接收安全性更新並正常啟動。因此，您必須在 2026 年 6 月 2011 年的 CA 憑證到期之前安裝 2023 年的憑證。

如果您購買的設備是 2024 年（或之後）生產的，那麼很可能已經安裝了最新的證書。但是，對於其他計算機，微軟目前正在透過 Windows 更新逐步推送新的安全啟動憑證。

在2026年1月13日發布的「2026年1月安全更新 (KB5074109) (26200.7623)」中，這家軟體巨頭指出，此次更新包含一部分高置信度的設備目標數據，用於識別符合條件自動接收新安全啟動證書的設備。設備只有在發出足夠多的成功更新訊號後才會收到新證書，確保安全且分階段的部署。

這意味著除了允許系統繼續接收更新之外，您無需採取任何手動步驟來更新安全啟動。至少從現在到 2026 年 6 月安全性更新發布之前都是如此。

檢查安全啟動憑證到期日期

由於您不會收到電腦已包含最新憑證授權單位的通知，因此檢查您的裝置是否仍需要更新非常重要。

Windows 11 沒有原生指令可以顯示易於理解的韌體到期日。但是，您可以按照以下步驟檢查是否擁有「更新」的 2023 年證書（該證書將取代 2026 年到期的證書）：

以管理員身份開啟PowerShell並執行：

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• 正確：您已獲得新證書（有效期至 2053 年）。
• 錯誤：您可能仍在使用 2011 年的憑證（將於 2026 年到期）。

PowerShell 檢查安全啟動憑證過期時間 / 圖片：Mauro Huculak

幾乎所有現代安全啟動鏈都依賴微軟 2011 年的證書，這些證書的到期日期如下：

• 微軟公司 KEK CA 2011（2026 年 6 月 24 日）。 
• Microsoft Corporation UEFI CA 2011（2026 年 6 月 27 日）。
• Microsoft Option ROM UEFI CA 2011（2026 年 6 月 27 日）。
• Microsoft Windows 生產 PCA 2011（2026 年 10 月 19 日）。

作為參考，以下是每項證書的具體內容：

• KEK 憑證：允許更新安全性啟動簽章資料庫 (DB/DBX) 的信任錨。
• UEFI CA 憑證：信任開機載入程式和韌體元件（包括第三方 EFI 應用程式）的簽章。
• Option ROM CA：信任韌體選項 ROM 模組。
• Microsoft Windows Production PCA 2011：確保 Windows 開機載入程式和相關二進位檔案在安全啟動下受到韌體的信任。

更新 Windows 11 上的安全啟動證書

如果您的憑證即將過期，微軟和您的電腦製造商 (OEM) 將透過 Windows 更新或系統更新自動推送韌體更新或「DBX」更新，以註冊新的 2023 年 CA 憑證。但是，您也可以手動更新安全啟動。

警告：在繼續操作之前，請確保您已儲存BitLocker 復原金鑰，並且您的BIOS (UEFI)已更新至最新版本。如果您的電腦韌體不支援新證書，則更新後電腦可能無法啟動。此外，建議您在繼續操作之前建立電腦的完整備份。

以管理員身份開啟PowerShell並執行：

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

此命令設定註冊表項，指示作業系統部署所有必要的憑證（包括 PCA 2023 簽署的啟動管理器）。

該值0x5944是「完全緩解」代碼，可啟用所有相關的憑證更新。

Windows 11 內建了一個處理這些憑證變更的任務，您可以使用以下命令手動觸發該任務，從而避免等待 12 小時：

啟動排程任務 -工作名稱 "\Microsoft\Windows\PI\Secure-Boot-Update"

PowerShell 更新安全啟動憑證 / 圖片：Mauro Huculak

更新通常需要重啟兩次才能完全生效。第一次重新啟動後，系統會更新啟動管理器。第二次重新啟動後，系統會完成 UEFI 資料庫中的憑證註冊。

重新啟動後，您可以透過執行下列PowerShell命令（以管理員身分執行）來驗證資料庫中是否已存在「UEFI CA 2023」：

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

• 正確：您的系統現在已透過新憑證得到保護。
• 錯誤：如果多次重新啟動後仍然顯示錯誤，則可能是主機板韌體版本過舊，無法辨識新的憑證格式。請造訪製造商網站，尋找與「安全啟動」相關的 BIOS 更新。

如果 BitLocker 處於活動狀態，您可能需要暫時停用加密Suspend-BitLocker -MountPoint "C:" -RebootCount 2（ ），然後韌體才能成功地將新金鑰寫入裝置。