旧版6月到期微软敦促Win11用户升级安全启动证书

日前，科技媒体Windows Latest披露，微软正在积极推动一项关键的系统安全更新，旨在敦促Windows 11用户将电脑中的“安全启动”证书，从2011年的旧版本升级至2023年的新版本。

为何如此紧迫？微软官方已确认，使用了十余年的2011版证书将于2026年6月到期。早在今年3月的官方问答中，微软便发出预警：证书过期后，多数电脑虽然仍能正常开机，但整个启动链条将无法获得关键的安全更新。这意味着系统抵御恶意软件和Rootkit攻击的“防线”会逐渐失效，安全风险只会与日俱增。

注：安全启动是UEFI固件中的一项核心安全机制。电脑开机时，它如同一位严格的“安检员”，逐一验证引导加载程序、驱动程序等关键组件的数字签名，只有受信任的软件才能被放行启动，从而在源头阻止恶意软件的入侵。

这套机制的运行，依赖于KEK、DB、DBX等多层密钥和签名数据库的协同配合。微软此次的更新策略是“新旧交替”：先将2023版新证书部署到系统中，再逐步将其刷入主板的UEFI固件，最终让整个系统切换到信任新的证书链上。

Windows 11 C盘中安全启动证书相关文件夹

当然，用户最关心的往往是各种边界情况。对此，微软也给出了明确的解释。

不同设备环境，更新策略各不相同

首先是古董级老机器。如果你的电脑采用纯粹的Legacy BIOS启动（根本不支持UEFI），那么系统会直接识别为“不支持安全启动”，更新程序会自动跳过，不会强制推送。

Windows 11中安全启动证书的状态

另一种情况是，设备本身支持UEFI和安全启动，但用户为了兼容旧系统，在BIOS中开启了CSM（兼容性支持模块）来模拟传统BIOS。针对这种情形，更新程序仍然可以正常执行。

最需要用户留意的，是手动关闭了安全启动功能的情况。如果你在BIOS设置里关掉了它，微软的更新程序会主动报错并停止。原因在于，不同主板厂商对于“安全启动关闭状态下写入新证书”的处理方式差异极大，强行更新极有可能破坏现有的启动链条，导致电脑无法开机。因此，遇到报错先别急着强制更新，去BIOS里重新打开安全启动才是正确的解决之道。

企业级与虚拟化环境更需谨慎对待

对于企业IT管理员和服务器环境，情况则要复杂得多。微软明确指出，面向普通Windows 11设备的自动证书更新推送，并不包含Windows Server系列。

这意味着，即便是全新安装的Windows Server 2025，或者从Server 2022升级上来的系统，都不会自动满足新证书的要求。管理员必须使用指定的PowerShell命令，手动完成证书的部署和更新，这一步绝不能省略。

虚拟化环境也有额外的“坑”。例如，在Hyper-V中长时间运行的虚拟机，历史上就曾出现过KEK密钥更新失败的Bug。要顺利完成此次证书更新，宿主机和客户机两侧都必须安装2026年3月（或之后）的系统更新补丁，否则更新流程很可能被卡住。

话说回来，如果你最近在更新Windows 11时，发现系统经历了多次重启，先别慌张。这很可能就是安全启动证书正在后台部署的正常行为，属于此次升级计划的一部分。