为保障您的设备系统启动安全,防范恶意程序在设备开机环节加载运行,现就微软 Windows 安全启动证书更新相关事项,向您进行专项说明与操作指引。
微软官方于 2025 年 10 月 28 日发布《用于安全启动的原始设备制造商 (OEM) 页》公告(KB ID:KB5067177),明确用于 Windows 安全启动校验的 UEFI CA 2011 证书将于 2026 年 6 月开始过期,需要过渡到 UEFI CA 2023 新证书。
安全启动作为 UEFI 固件核心安全标准,是 Windows 设备系统安全的重要基础防线,本次证书更替是微软联合全行业 OEM 厂商推进的常规安全升级动作,旨在持续巩固 Windows 设备的安全启动能力。
本次证书更替影响设备安全启动校验环节,可能会出现以下情况:
本次微软同步完成 3 组安全启动证书的版本迭代,旧版证书到期后将逐步停止信任,新版证书将成为 Windows 设备安全启动校验的核心信任根,具体更替信息如下:
| 即将过期的旧版证书 | 替换新版证书 | 证书核心用途 |
|---|---|---|
| Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK CA 2023 | 对安全启动签名数据库、禁止数据库的更新操作进行签名校验 |
| Microsoft Windows 生产版 PCA 2011 | Windows UEFI CA 2023 | 为 Windows 系统引导加载程序提供签名认证 |
| Microsoft Corporation UEFI CA 2011 | Microsoft UEFI CA 2023 | 为第三方引导加载程序、EFI 应用程序提供签名认证 |
| Microsoft Corporation UEFI CA 2011 | Microsoft Option ROM CA 2023 | 为第三方硬件选项 ROM 固件提供签名认证 |