Microsoft 安全启动 2011 证书到期对戴尔 PowerEdge 服务器的影响

安全启动证书用作安全启动过程的一部分，可帮助保护系统免受 bootkit 的攻击。bootkit 是一种恶意软件，旨在感染引导加载程序或引导进程，从而使恶意代码能够在系统上运行。

过期的证书不会影响已安装的作系统 — 系统将继续引导。

证书过期的系统可能会遇到以下问题：

• 无法接收与安全启动相关的更新
• 如果禁用了安全启动或重置了 BIOS 默认值，则可能会出现启动失败
• 增强了对 bootkit 恶意软件的攻击漏洞

受影响的产品：

• 运行 Windows Server 2012 及更高版本的 Dell PowerEdge 服务器
• 受影响的平台包括第 14 代、第 15 代和第 16 代服务器平台。
• 第 17 代服务器平台已包含新证书

Microsoft 将停用 2011 安全启动证书链（KEK CA 2011、UEFI CA 2011、Windows UEFI CA 2011）。这些证书从 2026 年 6 月开始到期，需要过渡到 2023 证书链。

最新的 Microsoft 官方博客公告：立即行动：安全启动证书将于 2026 年 6 月到期

• 戴尔计划在 2025 年底之前为第 14、15 和 16 代服务器平台发布 BIOS 更新
• BIOS 更新包括 2023 安全启动证书
• Microsoft 使用 Windows 更新将更新推送到活动安全启动数据库
• 避免重置 BIOS 默认值或禁用安全引导
• 由于服务终止状态，第 12 代和第 13 代服务器平台将不会收到更新

有关 Microsoft 的更多详细信息，请参阅此处的 Microsoft 知识库文章，包括证书细节：Windows 安全启动证书到期和 CA 更新

开始检查内部资产和流程，以确保它们为即将到来的 Microsoft 证书更改做好准备。Microsoft 在此处提供了有关如何为即将到来的更改做好准备的一些指导：适用于具有 IT 托管更新

的企业和组织的 Windows 设备Azure 和企业环境：
对于企业和云托管系统，Microsoft 提供了其他工具和指南来支持安全启动证书转换：

• 可引导介质更新：更新 Windows 可引导介质以使用PCA2023签名的引导管理器 - Microsoft 支持
  使用 PowerShell 脚本 Make2023BootableMedia.ps1 将 2023 安全启动证书注入 WinPE、ISO 或 USB 介质。
• Azure 受信任启动虚拟机：安全启动 UEFI 密钥 - Azure 虚拟机 |Microsoft Learn
  Azure 支持使用 Azure Compute Gallery 和 ARM 模板自定义 UEFI 安全启动密钥注入。这对于需要自定义 PK、KEK、DB 或 DBX 密钥的组织非常有用。
• 手动 UEFI 更新：Set-SecureBootUEFI （SecureBoot） |Microsoft Learn
  高级用户可以使用 Set-SecureBootUEFI PowerShell cmdlet 手动更新安全启动变量。这需要已签名的程序包和管理权限。

这些工具适用于 IT 管理的环境，应谨慎使用。Dell Technologies 建议在实施任何手动或脚本更改之前查看 Microsoft 的官方文档。