重要提醒：Windows 證書到期，手把手教你更新

近期微軟發(fā)布重要提示：Windows 設備內置的 2011 版安全啟動原始證書，將從2025 年 6 月起陸續(xù)到期。

很多人可能不清楚這個證書的作用，也不知道過期后會有什么影響，更不知道該如何更新。今天就把這件事講透，從風險說明到分步操作，小白也能跟著一步步完成，守護電腦的開機安全。

先搞懂：安全啟動和這個證書，到底有什么用？

安全啟動（Secure Boot）是電腦 UEFI BIOS 里的核心安全功能，它的作用是確保設備開機時，只加載受微軟官方信任的系統(tǒng)和軟件，從源頭攔截惡意程序、Rootkit 病毒在開機前入侵系統(tǒng)，是 Windows 電腦的第一道安全防線。

而所有 Windows 設備通用的微軟安全啟動證書，就是這道防線的 “信任憑證”。本次即將到期的，是 2011 年頒發(fā)的原始證書，一旦過期，電腦的開機安全信任鏈就會出現(xiàn)缺口。

證書過期后，對電腦有什么影響？

很多人會擔心 “證書過期電腦就開不了機了”，這里先明確：證書過期后，電腦仍可正常啟動、日常使用，常規(guī) Windows 更新也能正常安裝，不會影響基礎操作。

但核心的安全防護能力會大幅下降，主要有 3 個不可逆的風險：

1. 設備無法應用新的安全啟動和啟動管理器安全防護，開機階段的防入侵能力直接失效；
2. 針對早期啟動環(huán)境的系統(tǒng)漏洞修復，將無法正常安裝生效，系統(tǒng)漏洞暴露風險大幅提升；
3. 部分依賴安全啟動信任鏈的第三方軟件、硬件驅動、游戲反作弊程序，會因證書過期無法更新、甚至無法正常運行。

簡單來說：日常用看似沒影響，但電腦的核心安全防線會形同虛設，惡意程序更容易入侵，還可能出現(xiàn)軟件、游戲兼容性問題。

前置自查：先確認你的電腦安全啟動狀態(tài)

只有開啟了安全啟動的設備，才需要更新本次證書。先跟著步驟，一鍵查看你的電腦狀態(tài)：

1. 按下鍵盤【W(wǎng)in+R】快捷鍵，打開「運行」窗口；
2. 輸入【msinfo32】，按下回車鍵，打開「系統(tǒng)信息」面板；
3. 在右側列表中，找到【安全啟動狀態(tài)】，如果顯示「啟用」，就需要完成本次證書更新；如果顯示「禁用」，則無需操作。

首選方案：Windows Update 自動更新（小白零門檻）

這是最簡單、最穩(wěn)妥的更新方式，無需手動修改 BIOS，全程一鍵操作，適合絕大多數(shù)普通用戶：

1.點擊桌面左下角【開始菜單】，打開【設置】；

找到并點擊【W(wǎng)indows 更新】，在頁面中開啟「在最新更新可用后立即獲取」；

點擊【檢查更新】，系統(tǒng)會自動掃描、下載并安裝新版安全啟動證書、新版 Boot Manager 啟動管理器；

安裝完成后，根據(jù)提示重啟電腦，即可完成全部更新。

溫馨提示：大部分開啟安全啟動的 Windows 設備，都會通過自動更新收到證書推送，無需手動干預。

備用方案：手動更新 UEFI BIOS（自動更新失效時使用）

如果你的設備無法通過 Windows Update 收到證書更新，就可以通過更新主板 / 電腦 BIOS 的方式，完成安全啟動證書更新。

【重要前置提醒】

更新 BIOS 前，務必備份好 BitLocker 恢復密鑰，否則更新后可能會出現(xiàn)系統(tǒng)被鎖定、無法進入的情況。

• 建議先暫停 / 停用設備加密與標準 BitLocker 加密，BIOS 更新完成后再重新啟用；
• 提前確認 BitLocker 恢復密鑰的獲取方式，避免更新后無法解鎖系統(tǒng)。

一、華碩筆記本產品 證書更新分步操作

1.開機或重啟電腦，在開機畫面出現(xiàn)時，連續(xù)按下【F2】鍵，進入 BIOS 設置界面；

2.進入 BIOS 后，依次點擊【進階設置】→【安全性】→【安全啟動】→【密鑰管理】，選擇【恢復為設置模式】，在彈出的確認框中點擊【是】；

3.確認清除完成：此時安全啟動參數(shù)下的【平臺密鑰】【密鑰交換密鑰】【授權簽名】等各項，均顯示為【0】和【無密鑰】；

4.點擊頁面上方的【恢復出廠密鑰】，在彈出的確認框中點擊【是】，BIOS 會自動加載包含 2023 版新證書的默認安全啟動密鑰；

5.確認更新成功：此時【平臺密鑰】【密鑰交換密鑰】【授權簽名】等數(shù)值不再為 0；分別點擊【密鑰交換密鑰】和【授權簽名】，選擇【詳細】，查看密鑰信息；

6.當【密鑰交換密鑰】包含【Microsoft Corporation KEK 2K CA 2023】、【授權簽名】同時包含【Microsoft UEFI CA 2023】和【W(wǎng)indows UEFI CA 2023】，即說明證書更新成功；

二、華碩主板 / 臺式機 / MiniPC 產品 證書更新分步操作

注：不同產品型號的 BIOS 界面顯示略有差異，核心操作邏輯一致。

• 開機或重啟電腦，華碩主板連續(xù)按【Del】鍵、臺式機 / MiniPC 連續(xù)按【F2】鍵，進入 BIOS 設置界面；
• 依次點擊【Advanced（高級）】→【Boot（啟動）】→【Secure Boot（安全啟動）】，將【Secure Boot Mode（安全啟動模式）】改為【Custom（自定義）】；

• 點擊【Key Management（密鑰管理）】→【Clear Secure Boot Keys（清除安全啟動密鑰）】，點擊【Yes（是）】，確認所有 UEFI 安全啟動密鑰（PK、KEK、DB、DBX）清除成功，各項數(shù)值均顯示為【0】和【無密鑰】；

• 點擊【Install Default Secure Boot Keys（安裝默認安全啟動密鑰）】，點擊【Yes（是）】，確認【PK/KEK/DB/DBX】的密鑰數(shù)量均不為 0，【Key Source（密鑰來源）】顯示為【Default（默認）】，即完成 BIOS 內的密鑰更新；

• 按下【F10】鍵，保存設置并重啟電腦，進入 Windows 系統(tǒng)；在 Windows 搜索框中輸入【PowerShell】，選擇【以管理員身份運行】；依次輸入以下兩行命令，每輸入一行按下一次回車鍵，完成 Boot Manager 的證書適配：

plaintext

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

plaintext

Start-ScheduledTask -TaskName \Microsoft\Windows\PI\Secure-Boot-Update

命令執(zhí)行完成后，重啟電腦，再次進入 BIOS，即可在【KEK Management】中確認包含【Microsoft Corporation KEK 2K CA 2023】，【DB Management】中同時包含【Microsoft UEFI CA 2023】和【W(wǎng)indows UEFI CA 2023】，即全部更新完成。

核心要點總結

1. 自動更新（首選）：開啟 Windows Update 自動更新，系統(tǒng)會自動完成證書安裝，全程零操作門檻；
2. 手動更新（備用）：核心流程為「更新 BIOS→清除原有安全啟動密鑰→恢復出廠默認密鑰」，華碩不同品類設備可按對應步驟操作；
3. 關鍵提醒：更新 BIOS 前，務必提前備份 BitLocker 恢復密鑰，避免系統(tǒng)被鎖定；操作過程中不要隨意刪除密鑰、斷電，防止出現(xiàn)開機異常。

如果操作過程中遇到問題，也可以聯(lián)系廠家官方售后獲取技術支持，建議在 6 月證書到期前完成更新，守護電腦的開機安全。