安全启动转换常见问题

受影响的操作系统：

• Windows

目录

• 一般信息
• 戴尔计算机和更新
• 沟通和客户指导
• 影响和恢复
• 成本和持续时间

一般信息：

• 安全启动密钥转换是什么？
  • 当前的 Microsoft 2011 Secure Boot 证书将于 2026 年 6 月到期。新的 2023 证书链将取代这些证书链：KEK CA 2023、UEFI CA 2023、Windows UEFI CA 2023
• 安装 Windows 11 25H2 是否需要 2023 证书？
  • 否。该设备可以使用 2011 年证书安装 25H2。
• 当前的安全启动证书到期时会发生什么情况？
  • 计算机仍然能够启动。但是，证书到期后，计算机无法获得启动加载程序或安全启动的未来更新。
• 戴尔的双证书策略是什么？
  • 为简化过渡，戴尔于 2024 年底开始在新推出的平台上发布 2011 年和 2023 年证书；并且到 2025 年底，在戴尔工厂发货的所有支持平台上发布。具有较旧映像的企业客户可以启动使用任一证书签名的映像。
• 活动和默认安全启动数据库之间有何区别？
  • Active Secure Boot 数据库是您的计算机在启动期间用于验证受信任软件的数据库。默认安全启动数据库是原始可信密钥的备份集，可以在需要时还原。
    简而言之：
    • 活动：目前强制（通常从 Windows Update 更新）
    • 默认：除非通过 BIOS 更新进行恢复，否则使用出厂重置版本。
    提醒：将默认 Secure Boot 数据库更新到 2023 证书非常重要。否则，如果切换专家密钥模式，则可能会擦除来自 Windows Update 的活动变量。
• 如何更新活动数据库？
  • 可以使用 Windows Update 更新活动数据库。这可避免 BitLocker 等安全功能中断。但是，如果没有 Windows Update 选项，并且客户是专家用户，则可以使用 BIOS 中的命令覆盖活动数据库以重置密钥，请参阅如何从 BIOS 更新安全启动活动数据库了解更多信息。
• 如何更新默认数据库？
  • 使用 BIOS 闪存更新默认数据库。
• 当前的安全启动证书到期时会发生什么情况？
  • 计算机仍然能够启动。但是，证书到期后，计算机无法获得启动加载程序或安全启动的未来更新。

返回页首

戴尔计算机和更新：

• 哪些戴尔计算机接收 BIOS 更新？
  • 戴尔更新：
    • 从戴尔工厂或现场发货，并且服务终止 (EoSL) 日期在 2025 年 12 月 31 日之后的消费类和商用平台
  • 戴尔不更新：
    • 服务终止日期在 2026 年 1 月 1 日之前的平台。这意味着，虽然 Microsoft 可能会提供新证书，但这些较旧的计算机上的 BIOS 可能不支持或保留新证书，尤其是在切换了安全启动或 BIOS 默认值被重置的情况下。
• 戴尔正在采取哪些措施来减轻客户影响？
  • 在 2025 年底之前为受支持的平台提供 BIOS 更新
  • 与 Microsoft 协调恢复工具
  • 发布知识库文章
  • 更新可启动介质
• 对第三方显卡和 Linux 计算机的影响如何？
  • 为了替换即将到期的 2011 年第三方 CA，微软创建了两个新的 2023 第三方 CA。换言之，Microsoft Corporation UEFI CA 2011 已分支为 Microsoft UEFI CA 2023（适用于启动加载程序）和 Microsoft Option ROM UEFI CA 2023（适用于 Option ROM）。Microsoft 的硬件设备中心 (HDC) 已进行更新，以支持对需要这些新 2023 CA 的第三方驱动程序进行签名。合作伙伴可以在 2025 年 10 月开始与新的 2023 CA 签订协议，但 Microsoft 和 OEM 将继续支持现有的 Microsoft Corporation UEFI CA 2011，直到有足够的时间将生态系统迁移到新 2023 CA。
• 企业客户如何在其当前设备机群上获得新 2023 证书？
  • 企业客户可以选择让微软通过 Windows Update (WU) 来管理其设备的更新，或者手动将更新应用到机群设备上。关于后者的指导，请查看：具有 IT 管理更新的 Windows 设备 。此外，戴尔还会将 BIOS 更新推送到服务中的设备，这些设备可用于填充活动数据库。有关说明，请参阅如何从 BIOS 更新安全启动活动数据库。
• 获取此证书是否有任何特定的硬件要求？
  • 设备必须支持安全启动并兼容 UEFI 固件更新。戴尔正在内部验证平台，并在戴尔知识库文章 Microsoft 2011 安全启动证书到期中发布了受支持计算机的列表。

返回页首

沟通和客户指导：

• 戴尔如何向客户传达此信息？
  • 戴尔已发布 Microsoft 2011 安全启动证书到期，更新了戴尔准备好更新的平台列表。戴尔将在必要时提供符合 Microsoft 公开指导的其他宣传信息。
• 企业客户现在应该怎么做？
  • 在 Windows 25H2 推出之前，使用 Microsoft 2011 安全启动证书到期中维护的戴尔设备列表规划 BIOS 更新。
  • 希望在内部（而不是通过 WU）管理设备，则企业可以开始使用新 2023 CA 更新设备，请参阅此处的指导：具有 IT 管理更新的 Windows 设备 。
  • 向戴尔报告任何更新问题。
• 客户如何知道他们是否拥有 2011 或 2023 年证书？
  • Windows 计划为终端用户添加通知。用户还可以运行以下 PowerShell 命令，查看他们是否拥有 2011 或 2023 CA（将在未来的知识库文章中提供方法）。
• 客户如何知道其证书是否已到期或即将到期？
  • 具有三个证书 (CA) 中任意一个将于 2026 年到期的证书的计算机：

    2011 CA	到期日期
    Microsoft Corporation KEK CA 2011	2026年6月24日
    Microsoft Windows Production PCA 2011	2026年10月19日
    Microsoft Corporation UEFI CA 2011	2026年6月27日

• 顾客如果持有 2023 证书，是否需要采取行动？
  • 否。如果同时存在 Windows UEFI CA 2023 和 Microsoft Corporation KEK 2K CA 2023 证书，则无需执行进一步操作。
• 如果客户的设备运行 Windows 10 并且具有或即将执行扩展安全更新 (ESU)，则客户是否可以迁移到 2023 证书？
  • 是，微软正在现场更新 Windows 11 设备的活动证书，并将根据以下条件更新 Windows 10 设备：
    • 正在运行 Windows LTSC 2021
    • 已激活 ESU 许可证

返回页首

影响和恢复：

• 到期证书有什么影响？
  • 安全启动证书到期后（从 2026 年 6 月开始），计算机将继续启动（安全启动开启）。但是，计算机不再通过 Windows Update 接收 Windows Boot Manager 和 Secure Boot 组件的更新，这使得它们处于安全受损状态。
• 在设备上禁用或切换安全启动会发生什么情况？
  • 禁用 Secure Boot 可能会擦除所有活动的 UEFI 变量，这意味着设备上已使用的任何 2023 CA 都可能会被擦除（如果从未更新，则随后会被默认固件中的较旧的 2011 CA 替换）。在戴尔设备上，如果用户在 BIOS 菜单中选择专家密钥模式选项，则会发生这种情况。在这种情况下，活动变量将从默认固件中提取。
    提醒：在设备上启用了 BitLocker，系统可能会提示您输入 BitLocker 恢复密钥。
• 哪些工具可用于恢复？
  • Microsoft 发布了手动恢复工具，但它存在一些限制。帮助客户的自动化工具仍在开发中。

返回页首

成本和持续时间：

• 新证书是否存在与新证书相关的成本？
  • 通过 Windows Update 接收 2023 证书没有直接费用，2023 CA 证书已经在 Windows 安全启动密钥创建和管理指南中免费提供。服务外设备的 BIOS 更新可能需要手动干预或服务参与，这可能会产生成本，具体取决于支持协议。
• 请问新证书的有效期是多久？
  • 2023 证书的有效期为 15 年 (2038)。

返回页首