Windows 安全启动证书过期和 CA 更新

什么是安全启动？

安全启动是统一可扩展固件接口中的一项安全功能， (基于 UEFI) 的固件，可帮助确保只有受信任的软件在设备的启动 (启动) 序列中运行。 它的工作原理是针对存储在设备固件中的一组受信任的数字证书 (（也称为证书颁发机构或 CA) ）验证预启动软件的数字签名。 作为行业标准，UEFI 安全启动定义了平台固件如何管理证书、对固件进行身份验证，以及作系统 (作系统) 如何与此过程交互。 有关 UEFI 和安全启动的更多详细信息，请参阅 安全启动。

Windows 8中首次引入了安全启动，以防止当时出现的预启动恶意软件 (也称为启动工具包) 威胁。 作为平台初始化的一部分，安全启动在执行前对固件模块进行身份验证。 这些模块包括 UEFI 固件驱动程序 (，例如选项 ROM) 、启动加载程序以及应用程序。 作为安全启动过程的最后一步，固件会验证安全启动是否信任启动加载程序。 然后，固件将控制权传递给启动加载程序，后者反过来会验证、加载到内存中并启动 Windows OS。

安全启动在制造过程中通过固件策略集定义受信任的代码。 对此策略的更改（例如添加或撤销证书）由密钥层次结构控制。 此层次结构从通常由硬件制造商拥有的平台密钥 (PK) 开始，然后是密钥注册密钥 (KEK) (也称为密钥交换密钥) ，其中可能包括Microsoft KEK 和其他 OEM KEK。 允许的签名数据库 (DB) 和不允许的签名数据库 (DBX) 确定哪些代码可以在 OS 启动之前在 UEFI 环境中运行。 DB 包括由 Microsoft 和 OEM 管理的证书，而 DBX 由Microsoft使用最新的吊销进行更新。 任何具有 KEK 的实体都可以更新 DB 和 DBX。

安全启动证书过期的影响

Microsoft更新最初在 2011 年颁发的安全启动证书，以确保 Windows 设备继续验证受信任的启动软件。 这些较旧的证书将于 2026 年 6 月开始过期。 未收到较新 2023 证书的设备将继续启动并正常运行，标准 Windows 更新将继续安装。 但是，这些设备将无法再为早期启动过程接收新的安全保护，包括更新 Windows 启动管理器、安全启动数据库、吊销列表或针对新发现的启动级别漏洞的缓解措施。 

随着时间的推移，这会限制设备对新出现威胁的保护，并可能影响依赖于安全启动信任的方案，例如 BitLocker 强化或第三方引导加载程序。 大多数 Windows 设备将自动接收更新的证书，许多 OEM 会在需要时提供固件更新。 使用这些更新使设备保持最新状态有助于确保它能够继续接收安全启动旨在提供的完整安全保护集。

Windows 安全启动证书在 2026 年到期

由于 Windows 引入了安全启动支持，所有基于 Windows 的设备在 KEK 和 DB 中都携带了同一组Microsoft证书。 这些原始证书即将到期，如果设备具有任何列出的证书版本，设备将受到影响。 若要继续运行 Windows 并接收安全启动配置的定期更新，需要更新这些证书。

术语

• KEK： 密钥注册密钥

• 约： 证书颁发机构

• Db： 安全启动签名数据库

• Dbx： 安全启动吊销的签名数据库

Microsoft已颁发更新的证书，以确保 Windows 设备上的安全启动保护的连续性。 Microsoft将在大部分 Windows 设备上管理这些新证书的更新过程。 此外，我们还将为管理自己的设备更新的组织提供详细的指导。

行动号召

可能需要采取措施来确保 Windows 设备在 2026 年证书过期时保持安全。 UEFI 安全启动 DB 和 KEK 都需要使用相应的新 2023 证书版本进行更新。 有关新证书的详细信息，请参阅 Windows 安全启动密钥创建和管理指南。 

你的作将因你拥有的 Windows 设备类型而异。 从左侧菜单中选择需要执行的设备类型和特定作。