5 月 26 日消息,科技媒体 Windows Latest 今天(5 月 26 日)发布博文,报道称微软正积极推动 Windows 11 用户升级安全启动(Secure Boot)证书,从 2011 版切换到 2023 版。
微软官方确认旧版证书将于下月(2026 年 6 月)到期。在今年 3 月举办的 AMA 活动中,官方明确如果用户一直不处理,电脑大多还能正常启动,但系统会失去启动链关键安全更新,后续风险会越来越高。
注:安全启动是 UEFI 固件中的启动校验机制。电脑开机后,它会验证引导加载程序、驱动和系统组件的数字签名,只允许受信任的软件启动。
这套机制依赖 KEK、DB 和 DBX 几层密钥与签名数据库协同工作。微软现在要把新的 2023 证书先写入系统,再刷入主板 UEFI 固件,并逐步让系统改为信任新证书链。
微软也解释了几个用户最担心的边界情况。首先是老机器。若设备是纯 Legacy BIOS,系统会识别为不支持 Secure Boot,于是直接跳过更新,不会强推。
若设备借助 CSM 模拟传统 BIOS,但本身仍具备 UEFI 和 Secure Boot 能力,更新仍可正常执行。
另一种常见情况是用户在 BIOS 里关闭了 Secure Boot。微软此时会主动让更新报错,指出不同主板对关闭状态下写入证书的处理差异很大,强行更新反而可能破坏启动链。
企业和服务器环境的处理更复杂。微软指出,Windows Server 不参加面向普通 Windows 11 设备的自动 CFR 推送。
Windows Server 2025 也不会因为全新安装或从 Server 2022 升级,就自动满足新证书要求,管理员仍需用指定的 PowerShell 命令手动部署。
虚拟化环境也有额外限制。例如 Hyper-V 长时间运行的虚拟机曾出现 KEK 更新 Bug,宿主机和客户机两侧都要安装 2026 年 3 月更新,否则证书更新会卡住。
相关阅读:
《微软解释 Win11 更新出现多次重启原因:属安全启动证书部署正常行为》
