重要提醒: Windows 证书到期, 手把手教你更新

近期微软发布重要提示：Windows 设备内置的 2011 版安全启动原始证书，将从2025 年 6 月起陆续到期。

很多人可能不清楚这个证书的作用，也不知道过期后会有什么影响，更不知道该如何更新。今天就把这件事讲透，从风险说明到分步操作，小白也能跟着一步步完成，守护电脑的开机安全。

先搞懂：安全启动和这个证书，到底有什么用？

安全启动（Secure Boot）是电脑 UEFI BIOS 里的核心安全功能，它的作用是确保设备开机时，只加载受微软官方信任的系统和软件，从源头拦截恶意程序、Rootkit 病毒在开机前入侵系统，是 Windows 电脑的第一道安全防线。

而所有 Windows 设备通用的微软安全启动证书，就是这道防线的 “信任凭证”。本次即将到期的，是 2011 年颁发的原始证书，一旦过期，电脑的开机安全信任链就会出现缺口。

证书过期后，对电脑有什么影响？

很多人会担心 “证书过期电脑就开不了机了”，这里先明确：证书过期后，电脑仍可正常启动、日常使用，常规 Windows 更新也能正常安装，不会影响基础操作。

但核心的安全防护能力会大幅下降，主要有 3 个不可逆的风险：

设备无法应用新的安全启动和启动管理器安全防护，开机阶段的防入侵能力直接失效；

针对早期启动环境的系统漏洞修复，将无法正常安装生效，系统漏洞暴露风险大幅提升；

部分依赖安全启动信任链的第三方软件、硬件驱动、游戏反作弊程序，会因证书过期无法更新、甚至无法正常运行。

简单来说：日常用看似没影响，但电脑的核心安全防线会形同虚设，恶意程序更容易入侵，还可能出现软件、游戏兼容性问题。

前置自查：先确认你的电脑安全启动状态

只有开启了安全启动的设备，才需要更新本次证书。先跟着步骤，一键查看你的电脑状态：

按下键盘【Win+R】快捷键，打开「运行」窗口；

输入【msinfo32】，按下回车键，打开「系统信息」面板；

在右侧列表中，找到【安全启动状态】，如果显示「启用」，就需要完成本次证书更新；如果显示「禁用」，则无需操作。

首选方案：Windows Update 自动更新（小白零门槛）

这是最简单、最稳妥的更新方式，无需手动修改 BIOS，全程一键操作，适合绝大多数普通用户：

1.点击桌面左下角【开始菜单】，打开【设置】；

找到并点击【Windows 更新】，在页面中开启「在最新更新可用后立即获取」；

点击【检查更新】，系统会自动扫描、下载并安装新版安全启动证书、新版 Boot Manager 启动管理器；

安装完成后，根据提示重启电脑，即可完成全部更新。

温馨提示：大部分开启安全启动的 Windows 设备，都会通过自动更新收到证书推送，无需手动干预。

备用方案：手动更新 UEFI BIOS（自动更新失效时使用）

如果你的设备无法通过 Windows Update 收到证书更新，就可以通过更新主板 / 电脑 BIOS 的方式，完成安全启动证书更新。

【重要前置提醒】

更新 BIOS 前，务必备份好 BitLocker 恢复密钥，否则更新后可能会出现系统被锁定、无法进入的情况。

建议先暂停 / 停用设备加密与标准 BitLocker 加密，BIOS 更新完成后再重新启用；

提前确认 BitLocker 恢复密钥的获取方式，避免更新后无法解锁系统。

一、华硕笔记本产品 证书更新分步操作

1.开机或重启电脑，在开机画面出现时，连续按下【F2】键，进入 BIOS 设置界面；

2.进入 BIOS 后，依次点击【进阶设置】→【安全性】→【安全启动】→【密钥管理】，选择【恢复为设置模式】，在弹出的确认框中点击【是】；

3.确认清除完成：此时安全启动参数下的【平台密钥】【密钥交换密钥】【授权签名】等各项，均显示为【0】和【无密钥】；

5.确认更新成功：此时【平台密钥】【密钥交换密钥】【授权签名】等数值不再为 0；分别点击【密钥交换密钥】和【授权签名】，选择【详细】，查看密钥信息；

6.当【密钥交换密钥】包含【Microsoft Corporation KEK 2K CA 2023】、【授权签名】同时包含【Microsoft UEFI CA 2023】和【Windows UEFI CA 2023】，即说明证书更新成功；

二、华硕主板 / 台式机 / MiniPC 产品 证书更新分步操作

注：不同产品型号的 BIOS 界面显示略有差异，核心操作逻辑一致。

开机或重启电脑，华硕主板连续按【Del】键、台式机 / MiniPC 连续按【F2】键，进入 BIOS 设置界面；

依次点击【Advanced（高级）】→【Boot（启动）】→【Secure Boot（安全启动）】，将【Secure Boot Mode（安全启动模式）】改为【Custom（自定义）】；

点击【Key Management（密钥管理）】→【Clear Secure Boot Keys（清除安全启动密钥）】，点击【Yes（是）】，确认所有 UEFI 安全启动密钥（PK、KEK、DB、DBX）清除成功，各项数值均显示为【0】和【无密钥】；

点击【Install Default Secure Boot Keys（安装默认安全启动密钥）】，点击【Yes（是）】，确认【PK/KEK/DB/DBX】的密钥数量均不为 0，【Key Source（密钥来源）】显示为【Default（默认）】，即完成 BIOS 内的密钥更新；

按下【F10】键，保存设置并重启电脑，进入 Windows 系统；在 Windows 搜索框中输入【PowerShell】，选择【以管理员身份运行】；依次输入以下两行命令，每输入一行按下一次回车键，完成 Boot Manager 的证书适配：

plaintext

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

plaintext

Start-ScheduledTask -TaskName \Microsoft\Windows\PI\Secure-Boot-Update

命令执行完成后，重启电脑，再次进入 BIOS，即可在【KEK Management】中确认包含【Microsoft Corporation KEK 2K CA 2023】，【DB Management】中同时包含【Microsoft UEFI CA 2023】和【Windows UEFI CA 2023】，即全部更新完成。

核心要点总结

自动更新（首选）：开启 Windows Update 自动更新，系统会自动完成证书安装，全程零操作门槛；

手动更新（备用）：核心流程为「更新 BIOS→清除原有安全启动密钥→恢复出厂默认密钥」，华硕不同品类设备可按对应步骤操作；

关键提醒：更新 BIOS 前，务必提前备份 BitLocker 恢复密钥，避免系统被锁定；操作过程中不要随意删除密钥、断电，防止出现开机异常。

如果操作过程中遇到问题，也可以联系厂家官方售后获取技术支持，建议在 6 月证书到期前完成更新，守护电脑的开机安全。