Win11 旧版安全启动证书下月失效，微软提醒升级至 2023 版

　　系统之家 5 月 26 日最新消息，微软提醒 Win11 用户，把安全启动证书从旧的 2011 版更新为 2023 新版。旧版证书将于 2026 年 6 月到期，如果没有及时升级为 2023 版新证书，电脑大多还能正常启动，但系统会失去启动链关键安全更新，后续风险会越来越高。

　　系统之家注：安全启动是 UEFI 固件中的启动校验机制。电脑开机后，它会验证引导加载程序、驱动和系统组件的数字签名，只允许受信任的软件启动。

　　这套机制依赖 KEK、DB 和 DBX 几层密钥与签名数据库协同工作。微软现在要把新的 2023 证书先写入系统，再刷入主板 UEFI 固件，并逐步让系统改为信任新证书链。

　　Win11 C 盘中的 Secure Boot 文件夹

　　微软也解释了几个用户最担心的边界情况。首先是老机器。若设备是纯 Legacy BIOS，系统会识别为不支持 Secure Boot，于是直接跳过更新，不会强推。

　　Win11 中的 Secure Boot 证书状态

　　若设备借助 CSM 模拟传统 BIOS，但本身仍具备 UEFI 和 Secure Boot 能力，更新仍可正常执行。

　　另一种常见情况是用户在 BIOS 里关闭了 Secure Boot。微软此时会主动让更新报错，指出不同主板对关闭状态下写入证书的处理差异很大，强行更新反而可能破坏启动链。

　　企业和服务器环境的处理更复杂。微软指出，Windows Server 不参加面向普通 Win11 设备的自动 CFR 推送。

　　Windows Server 2025 也不会因为全新安装或从 Server 2022 升级，就自动满足新证书要求，管理员仍需用指定的 PowerShell 命令手动部署。

　　虚拟化环境也有额外限制。例如 Hyper-V 长时间运行的虚拟机曾出现 KEK 更新 Bug，宿主机和客户机两侧都要安装 2026 年 3 月更新，否则证书更新会卡住。

　　相关阅读

　　《微软为确认安全启动证书更新状态新增可视化警告功能》

　　《微软推送 5 月 Win11 RP 26x00.8514（KB5089573）预览版》

　　《微软推送 Win11 24H2 / 25H2 五月累积更新 KB5089549》

　　以上是系统之家提供的最新资讯，感谢您的阅读，更多精彩内容请关注系统之家官网。