微软敦促 Win11 用户升级安全启动证书，旧版下月到期

5 月 26 日消息，科技媒体 Windows Latest 今天（5 月 26 日）发布博文，报道称微软正积极推动 Windows 11 用户升级安全启动（Secure Boot）证书，从 2011 版切换到 2023 版。

微软官方确认旧版证书将于下月（2026 年 6 月）到期。在今年 3 月举办的 AMA 活动中，官方明确如果用户一直不处理，电脑大多还能正常启动，但系统会失去启动链关键安全更新，后续风险会越来越高。

注：安全启动是 UEFI 固件中的启动校验机制。电脑开机后，它会验证引导加载程序、驱动和系统组件的数字签名，只允许受信任的软件启动。

这套机制依赖 KEK、DB 和 DBX 几层密钥与签名数据库协同工作。微软现在要把新的 2023 证书先写入系统，再刷入主板 UEFI 固件，并逐步让系统改为信任新证书链。

微软也解释了几个用户最担心的边界情况。首先是老机器。若设备是纯 Legacy BIOS，系统会识别为不支持 Secure Boot，于是直接跳过更新，不会强推。

若设备借助 CSM 模拟传统 BIOS，但本身仍具备 UEFI 和 Secure Boot 能力，更新仍可正常执行。

另一种常见情况是用户在 BIOS 里关闭了 Secure Boot。微软此时会主动让更新报错，指出不同主板对关闭状态下写入证书的处理差异很大，强行更新反而可能破坏启动链。

企业和服务器环境的处理更复杂。微软指出，Windows Server 不参加面向普通 Windows 11 设备的自动 CFR 推送。

Windows Server 2025 也不会因为全新安装或从 Server 2022 升级，就自动满足新证书要求，管理员仍需用指定的 PowerShell 命令手动部署。

虚拟化环境也有额外限制。例如 Hyper-V 长时间运行的虚拟机曾出现 KEK 更新 Bug，宿主机和客户机两侧都要安装 2026 年 3 月更新，否则证书更新会卡住。