Windows 安全启动证书过期和 CA 更新

什么是安全启动？

安全启动是统一可扩展固件接口中的一项安全功能， (基于 UEFI) 的固件，可帮助确保只有受信任的软件在设备的启动 (启动) 序列中运行。 它的工作原理是针对存储在设备固件中的一组受信任的数字证书 (（也称为证书颁发机构或 CA) ）验证预启动软件的数字签名。 作为行业标准，UEFI 安全启动定义了平台固件如何管理证书、对固件进行身份验证，以及作系统 (作系统) 如何与此过程交互。 有关 UEFI 和安全启动的更多详细信息，请参阅 安全启动。

Windows 8中首次引入了安全启动，以防止当时出现的预启动恶意软件 (也称为启动工具包) 威胁。 作为平台初始化的一部分，安全启动在执行前对固件模块进行身份验证。 这些模块包括 UEFI 固件驱动程序 (，例如选项 ROM) 、启动加载程序以及应用程序。 作为安全启动过程的最后一步，固件会验证安全启动是否信任启动加载程序。 然后，固件将控制权传递给启动加载程序，后者反过来会验证、加载到内存中并启动 Windows OS。

安全启动在制造过程中通过固件策略集定义受信任的代码。 对此策略的更改（例如添加或撤销证书）由密钥层次结构控制。 此层次结构从通常由硬件制造商拥有的平台密钥 (PK) 开始，然后是密钥注册密钥 (KEK) (也称为密钥交换密钥) ，其中可能包括Microsoft KEK 和其他 OEM KEK。 允许的签名数据库 (DB) 和不允许的签名数据库 (DBX) 确定哪些代码可以在 OS 启动之前在 UEFI 环境中运行。 DB 包括由 Microsoft 和 OEM 管理的证书，而 DBX 由Microsoft使用最新的吊销进行更新。 任何具有 KEK 的实体都可以更新 DB 和 DBX。

Windows 安全启动证书在 2026 年到期

由于 Windows 引入了安全启动支持，所有基于 Windows 的设备在 KEK 和 DB 中都携带了同一组Microsoft证书。 这些原始证书即将到期，如果设备具有任何列出的证书版本，设备将受到影响。 若要继续运行 Windows 并接收安全启动配置的定期更新，需要更新这些证书。

术语

• KEK： 密钥注册密钥

• CA： 证书颁发机构

• 分贝： 安全启动签名数据库

• DBX： 安全启动吊销的签名数据库

Microsoft已颁发更新的证书，以确保 Windows 设备上的安全启动保护的连续性。 Microsoft将在大部分 Windows 设备上管理这些新证书的更新过程。 此外，我们还将为管理自己的设备更新的组织提供详细的指导。

重要说明 当 2011 CA 过期时，没有新 2023 证书的 Windows 设备无法再收到危害 Windows 启动安全性的预启动组件的安全修补程序。

行动号召

可能需要采取措施来确保 Windows 设备在 2026 年证书过期时保持安全。 UEFI 安全启动 DB 和 KEK 都需要使用相应的新 2023 证书版本进行更新。 有关新证书的详细信息，请参阅 Windows 安全启动密钥创建和管理指南。 

重要说明 如果没有更新，启用安全启动的 Windows 设备将面临无法接收安全更新或信任新的启动加载程序的风险，这将损害可维护性和安全性。

你的作将因你拥有的 Windows 设备类型而异。 从左侧菜单中选择需要执行的设备类型和特定作。