Windows Secure Boot 憑證即將到期及更新方式
Windows Secure Boot 憑證即將到期及更新方式
自從Windows支援Secure Boot以來,大多數Windows裝置在UEFI的Secure Boot資料庫中,都使用同一系列的Microsoft憑證。這批較早期的憑證將從2026年開始陸續到期。為了維持開機安全與信任鏈完整,系統需要更新為2023年版的Microsoft憑證。
如果您的系統目前已啟用Secure Boot,請讓這批憑證於2026年年中到期前完成更新。
Microsoft建議透過Windows Update完成Secure Boot憑證更新:
對於多數使用者而言,所需更新將透過Windows更新自動推送,無需任何額外操作。更新是否已成功接收,可透過Windows安全性應用程式進行驗證,詳見其中「Windows安全性應用程式中的安全開機憑證更新狀態」的說明。
當「Windows Update」為開啟狀態,且系統有啟用Secure Boot時,支援的Windows裝置會在合適的時間,自動下載並套用新版Secure Boot憑證與新的Boot Manager。
新版Secure Boot資料庫更新,已自2024年起分階段釋出給啟用Secure Boot的裝置,並會在2026年6月憑證到期前,自動完成裝置的更新。
Q&A
問題一:如何查看UEFI Secure Boot Keys狀態?
回答: 請參考如下步驟:
步驟1 : 在OS下,用最高權限開啟PowerShell。
步驟2 : 確認Key Exchange Key (KEK) 包含 "Microsoft Corporation KEK 2K CA 2023"
輸入:[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI KEK).bytes) -match 'Microsoft Corporation KEK 2K CA 2023'
出現 True 就是有包含 "Microsoft Corporation KEK 2K CA 2023"。
步驟3 : 確認Signature Databases (DB) 包含 "Windows UEFI CA 2023"
輸入:[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'
出現 True 就是有包含 "Windows UEFI CA 2023"。
步驟4 : 確認Signature Databases (DB) 包含 "Microsoft UEFI CA 2023"
輸入:[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Microsoft UEFI CA 2023'
出現 True 就是有包含 "Microsoft UEFI CA 2023"。
問題二:如果我的裝置在舊憑證到期前沒有取得新的安全開機憑證,會發生什麼事?
回答:
安全開機憑證過期後,尚未收到新2023年憑證的裝置仍能正常啟動並運作,標準Windows更新也會繼續安裝。然而,這些裝置將無法在早期開機過程中獲得新的安全防護,包括更新Windows開機管理員、安全開機資料庫、撤銷清單,或針對新發現的開機層級漏洞的緩解措施。
隨著時間推移,這限制了裝置對新興威脅的防護,並可能影響依賴安全啟動信任的情境,如BitLocker強化或第三方開機載入程式。大多數Windows裝置會自動收到更新的憑證,許多OEM廠商也會在需要時提供韌體更新。保持裝置隨時更新,有助於確保它能持續獲得安全開機設計中所設計的完整安全防護。
問題三:關閉安全開機的裝置會有什麼影響?
回答:
關閉安全開機的裝置將不會在韌體中收到新的安全開機憑證。因此,它們仍會受到開機層惡意軟體(如bootkit)的侵害,因為安全啟動保護未被強制執行。
問題四:在我把韌體重置到預設設定後,裝置停止開機——發生了什麼事?我該怎麼修復?
回答:
如果Windows已經使用2023簽署的開機管理器,但韌體被重置為不包含Windows UEFI CA 2023憑證的預設值,安全開機會阻擋開機程序。
可以參考以下FAQ連結:
- [筆記型電腦] 疑難排解 - 開機時出現Secure Boot Violation | 官方支援 | ASUS 台灣
- [桌上型電腦] 疑難排解 - 開機時出現「Secure Boot Violation」 | 官方支援 | ASUS 台灣
問題五:如果我裝置的安全開機憑證已經過期,我還能收到更新的憑證嗎?
回答: 是的。即使現有憑證已過期,包含新安全開機憑證的累積更新仍可套用。若裝置能啟動Windows並安裝更新,則可依照已發布的部署指引將更新的憑證寫入韌體。大多數裝置會自動收到這些更新,但有些系統可能需要額外的韌體更新。
問題六:如果在事件檢視器中發現TPM-WMI error message (Event ID: 1801),可以怎麼處理?
回答: 出現此error message的原因是安全開機憑證已更新,但尚未套用到裝置韌體上。
請再繼續進行Windows Update,從更新歷史確認是否有更新到 KB5079473 或更新的版本。
問題七:如果在事件檢視器中發現TPM-WMI error message (Event ID: 1802),可以怎麼處理?
回答: 出現此error message的原因是開機更新被刻意阻擋,因為裝置符合已知的韌體或硬體狀況,導致更新無法安全完成。
請透過華碩服務中心回報問題。
問題八:如果在事件檢視器中發現TPM-WMI error message (Event ID: 1803),可以怎麼處理?
回答: 出現此error message的原因是此裝置無法找到由PK簽署的金鑰交換金鑰 (KEK)。
請透過華碩服務中心回報問題。
問題九:舊簽章已經到期了,Microsoft陸續以新的簽章簽發新的bootloader,所以當secure boot打開時,BIOS需用CA 2023做認證,否則將無法進入新版Windows。這是什麼意思?我該怎麼處理?
回答: 由於舊版簽章(CA 2011)已經到期,Microsoft正陸續以新的簽章簽發新版Boot Loader(開機管理員)。因此,當Secure Boot處於開啟狀態時,BIOS必須內建 CA 2023 憑證來進行驗證,否則將無法進入新版Windows系統;舊版Windows則不受此影響,仍可正常開機。
具體影響如下:
- Secure Boot 開啟:若韌體(KEK / DB)尚未內建或收到2023年新版憑證,待CA 2011到期(自2026年6月起陸續)後,新的開機元件安全更新將無法套用;某些僅使用CA 2011簽署的第三方Option ROM / GOP也可能被阻擋,最壞情況下可能導致「黑屏」或無法開機。
- Secure Boot 關閉:UEFI BIOS不驗證簽章,憑證到期亦不影響開機;Windows Update一般也不受影響(只是缺少了Secure Boot的保護與可更新性)。
請注意:OS常規更新機制並不依賴UEFI憑證鏈;影響的是「開機前元件」的更新與信任(如BootMgr、DB、DBX等)。CA 2011到期後若未更換新憑證,則無法再取得這些pre-boot元件的安全修補,等於Secure Boot的服務性與安全性下降。
建議操作:
Microsoft建議幾乎所有案件都可透過Windows Update自動更新CA 2023。若系統未自動更新,可根據您所在的環境與需求,選擇以下建議操作:
Secure Boot 憑證更新因應措施與部署情境對照表
用戶需求 | 建議操作 | 備註 |
欲透過更新 BIOS 升級憑證 | 更新 BIOS | 請參閱附件以確認其對應之 BIOS 版本。 SOP 參考:SOP_of_UEFI_Secure_Keys_Update_Process_via_BIOS_Update |
不更新 BIOS,並規劃透過 Windows Update 自動更新資料庫 (DB) | 於 BIOS 內建 ASUS PK | 1. 提供新版 KEK (ASUS sign) 予 Microsoft。 2. 經由 Microsoft 線上服務自動更新 KEK 與 DB。 請參閱確認其對應之 BIOS 版本。 |
不更新 BIOS,規劃透過 Windows Update 自動更新 DB,且欲維持現有 AMI PK 配置 | 於 BIOS 內建 AMI PK,且不變更 PK | 1. 提供新版 KEK (AMI sign) 予 Microsoft。 2. 經由 Microsoft 線上服務自動更新 KEK 與 DB。 註:此部署方式受限,請聯繫技術支援窗口確認適用性。 |
不更新 BIOS,規劃透過 Windows Update 自動更新 DB,且欲更換為 ASUS PK | 於 BIOS 內建 AMI PK,並規劃變更為 ASUS PK | 1. 執行 SecureBootUtility.exe 將 PK 變更為 ASUS PK。 2. 提供新版 KEK (ASUS sign) 予 Microsoft。 3. 經由 Microsoft 線上服務自動更新 KEK 與 DB。 請參閱確認其對應之 BIOS 版本。 SOP 參考:SOP - SecureBootUtility |
不透過 Windows Update 更新,規劃以手動方式更新資料庫 (DB) | 於 BIOS 內建 ASUS PK | 使用 secureboot2023_helper_v1.0.8 工具手動更新 KEK 與 DB。 請參閱確認其對應之 BIOS 版本。 SOP 參考:SOP - secureboot2023_helper |
不透過 Windows Update 更新,且維持現有 AMI PK 配置 | 於 BIOS 內建 AMI PK,且不變更 PK | 使用 secureboot2023_helper_v1.0.8 工具手動更新 KEK 與 DB。 請參閱確認其對應之 BIOS 版本。 SOP 參考:SOP - secureboot2023_helper |
不透過 Windows Update 更新,且欲更換為 ASUS PK | 於 BIOS 內建 AMI PK,並規劃變更為 ASUS PK | 1. 執行 SecureBootUtility.exe 將 PK 變更為 ASUS PK。 2. 使用 secureboot2023_helper_v1.0.8 工具更新 KEK 與 DB。 請參閱確認其對應之 BIOS 版本。 SOP 參考 1:SOP - SecureBootUtility SOP 參考 2:SOP - secureboot2023_helper |
如需更多技術支援資訊,請參考以下Microsoft官方文件:
Windows Secure Boot certificate expiration and CA updates - Microsoft Support
附錄:Secure Boot 相關工具與標準作業程序(SOP)下載列表
項目 / 用途 | 工具與文件名稱 | 下載連結 / 參考資源 |
更新 KEK / DB | secureboot2023_helper_v1.0.8 執行工具 | secureboot2023_helper_v1.0.8.zip |
更新 PK | SecureBootUtility.exe 執行工具 | SecureBootUtility.zip |
檢查與列舉 KEK / DB | SecureBootValidate.exe 執行工具 | SecureBootKeyValidate.zip |
標準作業程序 (SOP) | secureboot2023_helper 操作指南 | |
標準作業程序 (SOP) | SecureBootUtility 操作指南 | Secure Boot variable更新_en.pdf |
標準作業程序 (SOP) | 透過更新 BIOS 更新 KEK / DB 操作指南 | Server_SOP_of_UEFI_Secure_Keys_Update_Process_via_ |
附錄:支援 Secure Boot CA 2023 憑證更新之 BIOS 版本對照表
Platform | Project Name | BIOS version | Remark |
Z11 | Z11PA-D8-ASUS | 7106 |
|
Z11PA-U12-ASUS | 7001 |
| |
Z11PG-D16-ASUS | 7202 |
| |
Z11PG-D24-ASUS | 7203 |
| |
Z11PH-D12-ASUS | 7004 |
| |
Z11PP-D24-ASUS | 7203 |
| |
Z11PR-D16-ASUS | 6902 |
| |
Z11PR-D16-DC-ASUS | 6901 |
| |
Pro-WS-C621-64L-SAGE-ASUS | 7301 |
| |
Pro-WS-C621-64L-SAGE-10G-ASUS | 7301 |
| |
WS-C621E-SAGE-ASUS | 7201 |
| |
P11 | P11C-C-ASUS-4L | 7001 |
|
P11C-E-ASUS-4L | 7001 |
| |
P11C-I-ASUS | 7001 |
| |
P11C-I-ASUS-NGFF2280 | 7001 |
| |
P11C-M-ASUS-4L | 7001 |
| |
P11C-M-ASUS-10G-2T | 7001 |
| |
P11C-X-ASUS | 7001 |
| |
Z12 | Z12PG-16-ASUS | 1203 |
|
Z12PH-D16-ASUS | 0901 |
| |
Z12PP-D32-ASUS | 1503 |
| |
P12 | P12R-E-10G-2T-ASUS | 1801 |
|
P12R-E-ASUS | 1801 |
| |
P12R-I-ASUS | 1801 |
| |
P12R-M-10G-2T-ASUS | 1801 |
| |
P12R-M-ASUS | 1801 |
| |
Z13 | Z13PE-D16-ASUS | 2502 |
|
Z13PG-D16-V2-ASUS | 2502 |
| |
Z13PG-D32-ASUS | 2502 |
| |
Z13PH-D16-ASUS | 2502 |
| |
Z13PH-D16-OCP-ASUS | 2502 |
| |
Z13PH-U8-ASUS | 2502 |
| |
Z13PN-D32-ASUS | 2502 |
| |
Z13PN-D32-B200-ASUS | 0201 |
| |
Z13PN-D32-G3-ASUS | 0101 |
| |
Z13PP-D32-ASUS | 2502 |
| |
Z13PP-U8-2U-ASUS | 2502 |
| |
Z13PP-U8-ASUS | 2502 |
| |
Z13PP-U16-ASUS | 0304 |
| |
P13 | P13R-E-ASUS | 2004 |
|
P13R-I-ASUS | 2102 |
| |
P13R-M-10G-2T-ASUS | 2201 |
| |
P13R-M-ASUS | 2201 |
| |
Z14 | Z14PG-D32-ASUS | 0603 |
|
Z14PH-D24-ASUS | 0405 |
| |
Z14PN-D24-ASUS | 0102 |
| |
Z14PN-D32-N-ASUS | 0301 |
| |
Z14PP-D32-ASUS | 0701 |
| |
Rome | KNPP-D32-R-ASUS | 5302 |
|
KNPA-U16-R-ASUS | 5302 |
| |
KRPA-U16-ASUS | 5302 |
| |
KRPG-U8-ASUS | 5302 |
| |
KMPP-D32-R-ASUS | 1702 |
| |
KMPA-U16-R-ASUS | 1702 |
| |
KMPG-D32-R-ASUS | 1702 |
| |
KMPG-U8-R-ASUS | 1702 |
| |
Milan | KRPA-U16-M-ASUS | 2202 |
|
KRPG-U8-M-ASUS | 2202 |
| |
KMPP-D32-ASUS | 2202 |
| |
KMPA-U16-ASUS | 2202 |
| |
KMPN-U16-ASUS | 2202 |
| |
KMPG-D32-ASUS | 2202 |
| |
KMPG-U8-ASUS | 2202 |
| |
K14(Genoa) | K14PP-D24-ASUS | 2304 |
|
K14PA-U12-ASUS | 2304 |
| |
K14PA-U24-ASUS | 2304 |
| |
K14PG-D24-ASUS | 2304 |
| |
K14PG-U12-ASUS | 2304 |
| |
K14PH-D24-ASUS | 2304 |
| |
K14PN-D24-ASUS | 0604 |
| |
K14PN-D24-A-ASUS | 0702 |
| |
| K15PG-D24-G-ASUS | 0203 |
|
| K15PP-D24-G-ASUS | 0303 |
|
S14(Siena) | S14NA-U12-ASUS | 0902 |
|
K15(Turin) | K14PA-U24-T-ASUS | 1002 |
|
K14PG-U12-T-ASUS | 0302 |
| |
K14PH-D24-T-ASUS | 0402 |
| |
K14PN-D24-A-T-ASUS | 0502 |
| |
K15PG-D24-ASUS | 1102 |
| |
K15PH-U12-ASUS | 0502 |
| |
K15PN-D24-ASUS | 0202 |
| |
K15PP-D24-ASUS | 1002 |
|