IT酷哥 7 月 1 日消息，科技媒体 borncity 昨日（6 月 30 日）发布博文，报道称微软上周开始，已陆续通知 IT 管理员，旧版 UEFI Secure Boot 证书将于 2026 年 6 月到期，推荐其尽快采取行动。

Secure Boot 证书链结构

IT酷哥注：微软于 2024 年 2 月开始推出新的 2023 安全启动证书颁发机构（CA）密钥，取代了 2011 年 Windows 8 时期创建的旧密钥。

Windows 8 中引入的 Secure Boot 使用基于 UEFI 证书的信任层次结构，从而确保在系统启动时只执行授权软件。

平台密钥（PK）位于这个链的顶端，通常由 OEM 或授权代表管理，并作为信任的基础。PK 授权更新密钥注册密钥（KEK）数据库，该数据库进而授权更新两个关键签名数据库：允许签名数据库（DB）和禁止签名数据库（DBX）。

Windows 系统受影响的证书

微软在 Technet 文章中发布了一张表格，列出了即将到期的证书。这篇文章讨论的是两个证书：Microsoft Corporation KEK CA 2011 和 Microsoft Corporation UEFI CA 2011（或第三方提供商的 UEFI 证书，例如用于 Linux 系统的证书），两者都将在 2026 年 6 月到期。

这些即将到期的证书将被新的 Microsoft Corporation KEK 2K CA 2023 和 Microsoft Corporation UEFI CA 2023 / Microsoft Option ROM UEFI CA 2023 证书所取代。

哪些系统受到影响？

受影响的系统包括运行受支持版本的 Windows 10、Windows 11、Windows Server 2025、Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows Server 2012 和 Windows Server 2012 R2 的物理和虚拟机（VM）。

这些系统自 2012 年以来发布，不受影响的系统包括不使用 Secure Boot 来保护 Windows 启动的系统，以及 2025 年发布的带有 Copilot+PC 的新系统。

证书到期意味着什么？

在证书到期后，此前消息称系统将无法启动 Windows。然而，这种情况并不会发生；如果启用了 Secure Boot，系统将继续支持启动 Windows。

但是，更大的问题是：一旦这些 CA 到期，系统将无法接收 Windows Boot Manager 和 Secure Boot 组件的安全更新。

依赖 Secure Boot 的系统（无论是物理设备还是虚拟机）将在 2026 年 6 月后失去安装 Secure Boot 安全更新的能力。

更新方式

微软于 2025 年 2 月发布名为 Make2023BootableMedia.ps1 的 PowerShell 脚本，用于更新 Windows 可启动媒体等，让其兼容新的“Windows UEFI CA 2023”证书。