[主機板]Windows Secure Boot 憑證即將到期及更新方式
自從Windows支援Secure Boot以來,大多數Windows裝置在UEFI的Secure Boot資料庫中,都使用同一系列的Microsoft憑證。這批較早期的憑證將從2026年開始陸續到期。為了維持開機安全與信任鏈完整,系統需要更新為2023年版的Microsoft憑證。如果您的系統目前已啟用Secure Boot,請讓這批憑證於2026年年中到期前完成更新。
目錄
方法I:透過Microsoft建議的Windows update方式完成Secure Boot certificates更新
方法II:手動更新UEFI BIOS
(方法I) 透過Microsoft建議的Windows update方式完成Secure Boot certificates更新
對於多數使用者而言,所需更新將透過Windows更新自動推送,無需任何額外操作。更新是否已成功接收,可透過Windows安全性應用程式進行驗證,詳見其中「Windows安全性應用程式中的安全開機憑證更新狀態」的說明。
當「Windows Update」為開啟狀態,且系統有啟用Secure Boot(請參考FAQ:如何開啟Secure Boot)時,支援的Windows裝置會在合適的時間,自動下載並使用新版Secure Boot憑證與新的Boot Manager。
新版Secure Boot資料庫更新,已自2024年起分階段釋出給啟用Secure Boot的裝置,並會在2026年6月憑證到期前,自動完成裝置的更新。
如下圖所示開啟Windows Update以取得新的憑證。 
注意事項:
1. 我們強烈建議遵循微軟官方指示透過Windows Update的方式進行更新,請參考如上方法I。
只有當 Windows Update 無法取得更新,或雖然Windows Update已是最新狀態但 Secure Boot 憑證仍未得到更新時,並且您已詳讀下面步驟,才建議透過UEFI BIOS手動更新憑證。
2. 在進行更新之前,請確認系統有啟用Secure Boot(請參考FAQ:如何開啟Secure Boot)
3. 在更新 BIOS 後,您可能會被提示輸入 BitLocker 恢復密鑰以解鎖並存取作業系統。有關詳細步驟,請參閱本文:如何找到 BitLocker 密鑰 。
您也可以在更新 BIOS 之前先停用設備加密和標準 BitLocker 加密,然後在 BIOS更新後重新啟用加密,以保護您的資料安全。有關詳細步驟,請參閱FAQ:設備加密和標準 BitLocker 加密簡介 。
您可以從ASUS官方網站下載並更新至最新版本的UEFI BIOS,以取得更新後的Secure Boot憑證。
1. 從ASUS官方網站下載並更新至最新版本的UEFI BIOS,您可以參考FAQ:如何更新BIOS
2. Clear Secure Boot Keys
2.1 更新BIOS後重啟系統,重新進入BIOS Setup,進入Advanced Mode\Boot\Secure Boot
若Secure Boot Mode為Standard,請改為Custom
2.2 點選Key Managemen
2.3 執行"Clear Secure Boot Keys"
點選[Yes]
2.4 確認所有UEFI安全啟動密鑰(PK、KEK、DB、DBX)清除成功
3. Install Default Secure Boot Keys
3.1 清除Secure Boot Keys之後,執行"Install Default Secure Boot Keys"
點選[Yes]
3.2 檢查PK/KEK/DB/DBX的Size/Number of Keys不為0,Key Source為[Default]。UEFI Secure Boot Keys更新過程即已完成。
4. 将 “Windows UEFI CA 2023” certificate套用至Windows Boot Manager:
4.1 在Windows系統搜索框中輸入PowerShell
4.2 在搜索結果中,點擊Windows PowerShell圖標,選擇以管理員身份運行(Run as Administrator) 
4.3 以管理員身份打Windows PowerShell窗口後,分別輸入以下命令,然後點擊Enter鍵即可完成Boot Manager的“'Windows UEFI CA 2023” certificate更新
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f
Start-ScheduledTask -TaskName “\Microsoft\Windows\PI\Secure-Boot-Update”
問題一:如何查看UEFI Secure Boot Keys狀態?
回答:請參考如下步驟:
1. 在Windows系統搜索框中輸入PowerShell
在搜索結果中,點擊Windows PowerShell圖標,選擇以管理員身份運行(Run as Administrator)
2. 確認Key Exchange Key (KEK)包含 "Microsoft Corporation KEK 2K CA 2023"
輸入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
出現 True 就是有包含 "Microsoft Corporation KEK 2K CA 2023" 
3. 確認Signature Databases (DB)包含 "Windows UEFI CA 2023"
輸入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
出現 True 就是有包含 "Windows UEFI CA 2023" 
4. 確認Signature Databases (DB)包含 " Microsoft UEFI CA 2023"
輸入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
出現 True 就是有包含 " Microsoft UEFI CA 2023" 
問題二:如果我的裝置在舊憑證到期前沒有取得新的安全開機憑證,會發生什麼事?
回答:安全開機憑證過期後,尚未收到新 2023 年憑證的裝置仍能正常啟動並運作,標準 Windows 更新也會繼續安裝。 然而,這些裝置將無法在早期開機過程中獲得新的安全防護,包括更新 Windows 開機管理員、安全開機資料庫、撤銷清單,或針對新發現的開機層級漏洞的緩解措施。
隨著時間推移,這限制了裝置對新興威脅的防護,並可能影響依賴安全啟動信任的情境,如 BitLocker 強化或第三方開機載入程式。 大多數 Windows 裝置會自動收到更新的憑證,許多 OEM 廠商也會在需要時提供韌體更新。 保持裝置隨時更新,有助於確保它能持續獲得安全開機設計中所設計的完整安全防護。
問題三:關閉安全開機的裝置會有什麼影響?
回答:關閉安全開機的裝置將不會在韌體中收到新的安全開機憑證。 因此,他們仍會受到開機層惡意軟體(如 bootkit)的侵害,因為安全啟動保護未被強制執行。同時,關閉Secure Boot有可能將無法進行某些游戲(如Call of Duty),因爲部分游戲廠商反作弊系统要求開啓Secure Boot以確保游戲公平性。
問題四:在我把韌體重置到預設設定後,裝置停止開機——發生了什麼事?我該怎麼修復?
回答:如果 Windows 已經使用 2023 簽署的開機管理器,但韌體被重置為不包含 Windows UEFI CA 2023 憑證的預設值,安全開機會阻擋開機程序。
可以參考FAQ:[桌上型電腦] 疑難排解 - 開機時出現「Secure Boot Violation」 | 官方支援 | ASUS 台灣
問題五:如果我裝置的安全開機憑證已經過期,我還能收到更新的憑證嗎?
回答:是的。 即使現有憑證已過期,包含新安全開機憑證的累積更新仍可套用。 若裝置能啟動 Windows 並安裝更新,則可依照已發布的部署指引將更新的憑證寫入韌體。 大多數裝置會自動收到這些更新,但有些系統可能需要額外的韌體更新。
問題六:如果在事件檢視器中發現TPM-WMI error message (Event ID: 1801),可以怎麼處理?
回答:出現此error message的原因是安全開機憑證已更新,但尚未套用到Boot Manager。請按照以上步驟4更新Boot Manager的 “Windows UEFI CA 2023” certificate以解决問題。
問題七:如果在事件檢視器中發現TPM-WMI error message (Event ID: 1802),可以怎麼處理?
回答:出現此error message的原因是開機更新被刻意阻擋,因為裝置符合已知的韌體或硬體狀況,導致更新無法安全完成。
請透過華碩服務中心回報問題。
問題八:如果在事件檢視器中發現TPM-WMI error message (Event ID: 1803),可以怎麼處理?
回答:出現此error message的原因是此裝置無法找到 PK 簽署的金鑰交換金鑰 (KEK) 。
請透過華碩服務中心回報問題。
問題九:爲什麽開啓Secure Boot之後,我裝置的開機時間變長?
回答:Secure Boot 會進行設備安全檢查機制,這些安全驗證會讓開機時間略為增加,尤其連接多個設備時。
Ref:
Windows Secure Boot certificate expiration and CA updates - Microsoft Support
Secure Boot certificate update status in the Windows Security app
Frequently asked questions about the Secure Boot update process - Microsoft Support
Secure Boot DB and DBX variable update events - Microsoft Support