如何查看 Windows 11「安全启动证书」更新状态

微软于 2011 年为 Windows 系统颁发的「安全启动证书」，将在 2026 年 6 月正式过期。目前，微软正在积极推进从旧证书到「Windows UEFI CA 2023」新证书的平滑替换。

为了避免后续遇到启动失败、安全验证异常等问题，我们还是建议你提前手动确认，看看系统是否已经完成了证书迭代。

安全启动简介

「安全启动」是 UEFI（统一可扩展固件接口）中，一项基于固件的核心安全防线。它的核心任务就是「守门」：确保设备在启动时，只加载经过硬件厂商数字签名、完全受信任的软件，在操作系统加载之前，就把试图篡改底层引导组件的恶意代码拒之门外。

• 为了实现这个目标，「安全启动」会依赖一系列加密密钥（也就是证书颁发机构 CA），来验证固件模块和引导加载程序（Bootloader）的合法性。这些证书共同构建起了一条严密的信任链，全方位保障着系统早期的启动安全。
• 既然是数字证书，「安全启动证书」也有着固定的生命周期。「2011 版」证书过期后，设备将无法正常完成安全启动校验，因此必须在 2026 年 6 月之前完成「2023 版」新证书的部署，才能保证系统正常启动。

「安全启动证书」的作用

目前，绝大多数设备的「安全启动信任链」，都建立在微软 2011 年颁发的证书体系之上。这批证书的具体过期时间如下：

这批证书在系统底层的启动流程中，各自扮演着不可替代的关键角色：

• KEK 证书（Key Exchange Key）：核心信任锚点，拥有授权更新「安全启动签名数据库」（DB/DBX）的权限。
• UEFI CA：负责验证「引导加载程序」、各类固件组件（包括第三方 EFI 应用程序）的数字签名是否合法、可靠。
• Option ROM CA：专门用来验证固件中的 Option ROM 模块，确保其可被信任。
• Windows Production PCA：保障 Windows 系统的「引导加载程序」及相关二进制文件，能在「安全启动机制」下，被底层固件完全信任。

查看 Windows 11「安全启动证书」更新状态

如果你的 Windows 11 电脑是 2024 年之后购买的新机，通常出厂就已经预装了新版证书。但对于老旧硬件，微软正通过「Windows 更新」在后台静默推送证书迭代。

如果你想做到心中有数，完全可以手动查看 Windows 11 的「安全启动证书」的更新状态：

1右键点击「开始」菜单，选择「终端管理员」，以管理员权限打开 Windows 终端。

2按Ctrl + Shift + 1快捷键，切换到 PowerShell 窗口。

3执行以下命令，查询证书状态：

[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

执行命令后，如果返回结果为True，说明你的设备已经成功安装了新版证书；若结果为False，则代表系统还在使用 2011 版旧证书，需要等待后续替换。

「安全启动证书」替换流程

整个证书的平滑过渡流程，主要分为 2 个阶段：

1. Windows 会先在系统内下载并挂载新证书；
2. 在经过一系列严格的兼容性验证后，证书才会被正式写入到「系统固件」并完成激活。

在这两个阶段之间的缓冲期内，你可以在「事件日志」中，看到 TPM-WMI 相关的日志「频繁刷脸」：

• Event ID 1801 ：事件来源为「TPM-WMI」，同时附带「更新的安全启动证书在此设备上可用，但尚未应用于固件。请查看已发布的指南，完成更新并维持全面保护。此处包含此设备签名信息。」提示信息。
• 这条日志的含义是：操作系统已经检测到了新版「安全启动证书」，但暂时还没有将它正式写入主板固件。

简单来说，就是你的设备已经进入到证书更新的「准备与评估」阶段。但由于「安全启动」密钥需要写入 UEFI 固件，并直接决定着系统能否正常开机，因此微软把整个替换流程设计得极为保守，以避免出现「设备变砖」的极端情况。