
微软于 2011 年为 Windows 系统颁发的「安全启动证书」,将在 2026 年 6 月正式过期。目前,微软正在积极推进从旧证书到「Windows UEFI CA 2023」新证书的平滑替换。
为了避免后续遇到启动失败、安全验证异常等问题,我们还是建议你提前手动确认,看看系统是否已经完成了证书迭代。
安全启动简介
「安全启动」是 UEFI(统一可扩展固件接口)中,一项基于固件的核心安全防线。它的核心任务就是「守门」:确保设备在启动时,只加载经过硬件厂商数字签名、完全受信任的软件,在操作系统加载之前,就把试图篡改底层引导组件的恶意代码拒之门外。
- 为了实现这个目标,「安全启动」会依赖一系列加密密钥(也就是证书颁发机构 CA),来验证固件模块和引导加载程序(Bootloader)的合法性。这些证书共同构建起了一条严密的信任链,全方位保障着系统早期的启动安全。
- 既然是数字证书,「安全启动证书」也有着固定的生命周期。「2011 版」证书过期后,设备将无法正常完成安全启动校验,因此必须在 2026 年 6 月之前完成「2023 版」新证书的部署,才能保证系统正常启动。
「安全启动证书」的作用
目前,绝大多数设备的「安全启动信任链」,都建立在微软 2011 年颁发的证书体系之上。这批证书的具体过期时间如下:
| 证书名称 | 过期日期 |
|---|---|
| Microsoft Corporation KEK CA 2011 | 2026 年 6 月 24 日 |
| Microsoft Corporation UEFI CA 2011 | 2026 年 6 月 27 日 |
| Microsoft Option ROM UEFI CA 2011 | 2026 年 6 月 27 日 |
| Microsoft Windows Production PCA 2011 | 2026 年 10 月 19 日 |
这批证书在系统底层的启动流程中,各自扮演着不可替代的关键角色:
- KEK 证书(Key Exchange Key):核心信任锚点,拥有授权更新「安全启动签名数据库」(DB/DBX)的权限。
- UEFI CA:负责验证「引导加载程序」、各类固件组件(包括第三方 EFI 应用程序)的数字签名是否合法、可靠。
- Option ROM CA:专门用来验证固件中的 Option ROM 模块,确保其可被信任。
- Windows Production PCA:保障 Windows 系统的「引导加载程序」及相关二进制文件,能在「安全启动机制」下,被底层固件完全信任。
随着证书临近到期,微软和各大 OEM 厂商会通过常规系统更新,自动推送固件或 DBX 更新,为你的设备无缝录入 2023 版的全新 CA 证书。
查看 Windows 11「安全启动证书」更新状态
如果你的 Windows 11 电脑是 2024 年之后购买的新机,通常出厂就已经预装了新版证书。但对于老旧硬件,微软正通过「Windows 更新」在后台静默推送证书迭代。
如果你想做到心中有数,完全可以手动查看 Windows 11 的「安全启动证书」的更新状态:
1右键点击「开始」菜单,选择「终端管理员」,以管理员权限打开 Windows 终端。
2按Ctrl + Shift + 1快捷键,切换到 PowerShell 窗口。
3执行以下命令,查询证书状态:
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
执行命令后,如果返回结果为True,说明你的设备已经成功安装了新版证书;若结果为False,则代表系统还在使用 2011 版旧证书,需要等待后续替换。

「Windows UEFI CA 2023」证书的有效期大约为 15 年(从 2023 年到 2038 年),到期后同样需要新一轮的证书替换。
「安全启动证书」替换流程
整个证书的平滑过渡流程,主要分为 2 个阶段:
- Windows 会先在系统内下载并挂载新证书;
- 在经过一系列严格的兼容性验证后,证书才会被正式写入到「系统固件」并完成激活。
在这两个阶段之间的缓冲期内,你可以在「事件日志」中,看到 TPM-WMI 相关的日志「频繁刷脸」:
- Event ID 1801 :事件来源为「TPM-WMI」,同时附带「更新的安全启动证书在此设备上可用,但尚未应用于固件。请查看已发布的指南,完成更新并维持全面保护。此处包含此设备签名信息。」提示信息。
- 这条日志的含义是:操作系统已经检测到了新版「安全启动证书」,但暂时还没有将它正式写入主板固件。

Event ID 1801 本质上只是一个例行的状态检查标记,代表 Windows 正在对你的设备硬件环境进行安全性观望。
简单来说,就是你的设备已经进入到证书更新的「准备与评估」阶段。但由于「安全启动」密钥需要写入 UEFI 固件,并直接决定着系统能否正常开机,因此微软把整个替换流程设计得极为保守,以避免出现「设备变砖」的极端情况。












最新评论
今日精彩瞬间等小程序添加选项为灰色,不能添加,这个是什么原因?
良心无网盘
edge取消云母后,谷歌接上来了,巨硬作为第一方丢脸不
可以,退回一个旧版本就好了。windows兼容的问题。旧版本退出账户后才能显示搜索页。具体参见:https://learn.microsoft.com/zh-cn/answers/questions/5772333/microsoft-store-microsoft-store