Windows 安全開機憑證到期和 CA 更新

什麼是安全啟動？

安全開機是統一可延伸韌體介面 (UEFI) 型韌體中的安全性功能，可協助確保只有受信任的軟體在裝置開機期間執行 (啟動) 順序。 它的工作原理是根據設備韌體中儲存的一組受信任數位憑證 (也稱為憑證授權單位或 CA) 驗證預啟動軟體的數位簽章。 作為業界標準，UEFI 安全開機會定義平臺韌體如何管理憑證、驗證韌體，以及作業系統 (作業系統) 如何與此程式介面。 如需 UEFI 和安全開機的詳細資訊，請參閱 安全開機。

安全啟動於 Windows 8 年首次推出，旨在防範新興的啟動前惡意軟體 (當時也稱為啟動套件) 威脅。 在平臺初始化過程中，安全開機會在執行之前驗證韌體模組。 這些模組包括 UEFI 韌體驅動程式 (，例如選項 ROM) 、開機載入器和應用程式。 作為安全開機程式的最後一個步驟，韌體會驗證安全開機是否信任開機載入程式。 然後，韌體將控制權傳遞給開機載入器，開機載入器接著驗證、載入到記憶體中，並啟動 Windows 作業系統。

安全開機會透過製造期間設定的韌體原則來定義受信任的程式碼。 此原則的變更 （例如新增或撤銷憑證） 是由金鑰階層所控制。 此階層從平臺金鑰 (PK) 開始，通常由硬體製造商擁有，後面接著金鑰註冊金鑰 (KEK) (也稱為金鑰交換金鑰) ，其中可能包括Microsoft KEK 和其他 OEM KEK。 資料庫) (允許的簽章資料庫和 DBX (不允許的簽章資料庫) 決定在作業系統啟動之前，哪些程式碼可以在 UEFI 環境中執行。 資料庫包含由 Microsoft 和 OEM 管理的憑證，而 DBX 則由 Microsoft 使用最新的撤銷來更新。 任何具有 KEK 的實體都可以更新資料庫和 DBX。

Windows 安全開機憑證將於 2026 年到期

自從 Windows 引進安全開機支援以來，所有 Windows 型裝置都在 KEK 和資料庫中攜帶相同的 Microsoft 憑證集。 這些原始憑證即將到期，如果您的裝置具有任何列出的憑證版本，則會受到影響。 若要繼續執行 Windows 並接收安全開機設定的定期更新，您必須更新這些憑證。

術語

• KEK： 金鑰註冊金鑰

• CA： 憑證授權單位

• 資料庫： 安全開機簽章資料庫

• DBX： 安全開機撤銷的簽章資料庫

Microsoft 已發行更新的憑證，以確保 Windows 裝置上安全開機保護的連續性。 Microsoft 將在大部分 Windows 裝置上管理這些新憑證的更新過程。 此外，我們將為管理自己的裝置更新的組織提供詳細指導。

重要： 當 2011 CA 到期時，沒有新 2023 憑證的 Windows 裝置無法再接收會損害 Windows 開機安全性的預先啟動元件的安全性修正程式。

喚起行動

您可能需要採取行動，確保您的 Windows 裝置在憑證在 2026 年到期時保持安全。 UEFI 安全開機資料庫和 KEK 都需要使用對應的新 2023 憑證版本進行更新。 如需新憑證的詳細資訊，請參閱 Windows 安全開機金鑰建立和管理指引。 

重要： 如果沒有更新，啟用安全啟動的 Windows 裝置可能會無法收到安全性更新或信任新的引導載入程序，這會損害可維護性和安全性。

您的操作將根據您擁有的 Windows 設備類型而有所不同。 從左側的選單中選擇您需要採取的裝置類型和特定操作。