如何检查安全启动证书

受影响的操作系统：

• Windows 11
• Windows 10

可以通过 PowerShell 使用 cmdlet 检查安全启动证书。为了避免发生访问问题，您必须以管理员身份运行 PowerShell。

有两种方法：

• 方法 1
  • 检查活动数据库：
    • 键入 ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')
      提醒：活动数据库是计算机用于启动计算机的数据库。
    这些是操作系统用于安全启动计算机的证书。
    此示例显示活动数据库中不存在 Windows UEFI CA 2023 证书 (CA)：
    

• • 检查默认数据库：
    • 键入 ([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')
    此示例显示默认数据库中存在 Windows UEFI CA 2023 证书 (CA)：
    
• 方法 2
  提醒：要安装 PowerShell 模块，需要互联网连接。
  • 安装 PowerShell 模块
    • 键入 Install-Module -Name UEFIv2
      • 键入 Y （表示是），适用于有关安装 NuGet 提供程序和从 PSGallery 安装的问题
    • 键入 Set-ExecutionPolicy -ExecutionPolicy RemoteSigned
    • 键入 Import-Module -Name UEFIv2
  • 检查活动数据库：
    • 键入 (Get-UEFISecureBootCerts db).signature
      提醒：活动数据库是计算机用于启动机器的数据库。这些是操作系统用于安全启动计算机的证书。
    此示例仅显示活动数据库中的 2011 证书 (CA)：
    
  • 检查默认数据库：
    • 键入 (Get-UEFISecureBootCerts dbdefault).signature
      提醒：默认数据库是安全启动数据库的备份拷贝。这些证书用于在 BIOS 请求覆盖活动数据库（无论通过专家密钥模式还是 BIOS 重置）时执行此操作。请参阅如何从 BIOS 更新安全启动活动数据库。
    此示例显示默认数据库中的 2011 和 2023 证书 (CA)：
    

  安全启动证书：

  2011 证书 (CA)	2023 证书 (CA)
  Microsoft Corporation KEK CA 2011	Microsoft Corporation KEK 2K CA 2023
  Microsoft Windows Production PCA 2011	Windows UEFI CA 2023
  Microsoft Corporation UEFI CA 2011	Microsoft UEFI CA 2023
  	Microsoft Option ROM UEFI CA 2023

  提醒：并非所有证书都显示在每个证书上。用于启动 Windows 的重要证书是 Microsoft Windows Production PCA 2011 和 Windows UEFI CA 2023。

  有关戴尔计算机上的安全启动证书更新的详细信息，请参阅 Microsoft 2011 安全启动证书到期。