Windows Secure Boot 憑證即將到期及更新方式

自從Windows支援Secure Boot以來,大多數Windows裝置在UEFI的Secure Boot資料庫中,都使用同一系列的Microsoft憑證。這批較早期的憑證將從2026年開始陸續到期。為了維持開機安全與信任鏈完整,系統需要更新為2023年版的Microsoft憑證。  
如果您的系統目前已啟用Secure Boot,請讓這批憑證於2026年年中到期前完成更新。

 

Microsoft建議透過Windows update完成Secure Boot certificates更新:

對於多數使用者而言,所需更新將透過Windows更新自動推送,無需任何額外操作。更新是否已成功接收,可透過Windows安全性應用程式進行驗證,詳見其中「Windows安全性應用程式中的安全開機憑證更新狀態」的說明。

當「Windows Update」為開啟狀態,且系統有啟用Secure Boot(請參考FAQ:如何開啟Secure Boot)時,支援的Windows裝置會在合適的時間,自動下載並套用新版Secure Boot憑證與新的Boot Manager。 
新版Secure Boot資料庫更新,已自2024年起分階段釋出給啟用Secure Boot的裝置,並會在2026年6月憑證到期前,自動完成裝置的更新。 
如下圖所示開啟Windows Update以取得新的憑證。 

 

常見問題

問題一、如何查看UEFI Secure Boot Keys狀態?

答案一、請參考如下步驟:

  1. 在Windows系統搜索框中輸入PowerShell。 
    在搜索結果中,點擊Windows PowerShell圖示,選擇以管理員身份運行(Run as Administrator)。 
  2. 確認Key Exchange Key (KEK)包含 "Microsoft Corporation KEK 2K CA 2023"。 
    輸入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023' 
    出現 True 就是有包含 "Microsoft Corporation KEK 2K CA 2023"。 
  3. 確認Signature Databases (DB)包含 "Windows UEFI CA 2023"。 
    輸入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023' 
    出現 True 就是有包含 "Windows UEFI CA 2023"。 
  4. 確認Signature Databases (DB)包含 " Microsoft UEFI CA 2023"。 
    輸入 [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023' 
    出現 True 就是有包含 " Microsoft UEFI CA 2023"。 

 

問題二、如果我的裝置在舊憑證到期前沒有取得新的安全開機憑證,會發生什麼事?

答案二、安全開機憑證過期後,尚未收到新 2023 年憑證的裝置仍能正常啟動並運作,標準 Windows 更新也會繼續安裝。 然而,這些裝置將無法在早期開機過程中獲得新的安全防護,包括更新 Windows 開機管理員、安全開機資料庫、撤銷清單,或針對新發現的開機層級漏洞的緩解措施。

隨著時間推移,這限制了裝置對新興威脅的防護,並可能影響依賴安全啟動信任的情境,如 BitLocker 強化或第三方開機載入程式。 大多數 Windows 裝置會自動收到更新的憑證,許多 OEM 廠商也會在需要時提供韌體更新。 保持裝置隨時更新,有助於確保它能持續獲得安全開機設計中所設計的完整安全防護。

 

問題三、關閉安全開機的裝置會有什麼影響?

答案三、關閉安全開機的裝置將不會在韌體中收到新的安全開機憑證。 因此,他們仍會受到開機層惡意軟體(如 bootkit)的侵害,因為安全啟動保護未被強制執行。

 

問題四、在我把韌體重置到預設設定後,裝置停止開機——發生了什麼事?我該怎麼修復?

答案四、如果 Windows 已經使用 2023 簽署的開機管理器,但韌體被重置為不包含 Windows UEFI CA 2023 憑證的預設值,安全開機會阻擋開機程序。

可以參考FAQ:

[筆記型電腦] 疑難排解 - 開機時出現Secure Boot Violation

 

問題五、如果我裝置的安全開機憑證已經過期,我還能收到更新的憑證嗎?

答案五、是的。 即使現有憑證已過期,包含新安全開機憑證的累積更新仍可套用。若裝置能啟動 Windows 並安裝更新,則可依照已發布的部署指引將更新的憑證寫入韌體。 大多數裝置會自動收到這些更新,但有些系統可能需要額外的韌體更新。

 

問題六、如果在事件檢視器中發現TPM-WMI error message(Event ID: 1801),可以怎麼處理?

答案六、出現此error message的原因是安全開機憑證已更新,但尚未套用到裝置韌體上。

請再繼續進行Windows Update,從Update history確認是否有更新到 KB5079473或更新的版本。

Windows 11,版本 25H2 更新歷史。

 

問題七、如果在事件檢視器中發現TPM-WMI error message(Event ID: 1802),可以怎麼處理?

答案七、出現此error message的原因是開機更新被刻意阻擋,因為裝置符合已知的韌體或硬體狀況,導致更新無法安全完成。 

請透過華碩服務中心回報問題。

 

問題八、如果在事件檢視器中發現TPM-WMI error message(Event ID: 1803),可以怎麼處理?

答案八、出現此error message的原因是此裝置無法找到 PK 簽署的金鑰交換金鑰(KEK)。

請透過華碩服務中心回報問題。

 

 

參考來源:

Windows 安全開機憑證到期與 CA 更新

Windows 安全性應用程式中的安全開機憑證更新狀態

關於安全啟動更新流程的常見問題

安全開機資料庫與 DBX 變數更新事件

Windows 11,版本 25H2 更新歷史