Windows 安全启动证书将于 2026 年到期，不更新系统可能无法启动

微软近日发布公告，提醒所有 Windows 用户及 IT 管理员注意：用于 Secure Boot（安全启动）的核心证书将于 2026 年开始陆续过期。如果系统未能在此之前完成证书更新，可能会导致设备无法正常启动。

什么是 Secure Boot

Secure Boot 是操作系统启动阶段的重要安全机制，基于 UEFI 固件架构设计，目的是确保系统在开机时只加载来自受信任来源的固件、引导加载器和驱动程序。该机制依赖一系列由微软签发的数字证书作为信任链的基础，确保启动过程未被恶意软件篡改。

在开启 Secure Boot 的 Windows 系统中，微软通过证书验证系统启动组件的合法性。证书一旦过期，系统将无法识别或信任这些组件，从而导致启动失败。

证书过期时间安排

此次即将到期的证书分为三个：

第一类，是微软用于允许更新受信任启动列表（DB）和黑名单（DBX）的 KEK 证书，当前版本签发于 2011 年，将于 2026 年 6 月到期。

第二类，是微软用于验证第三方操作系统和驱动程序的 UEFI 启动证书，同样签发于 2011 年，也将在 2026 年 6 月失效。

第三类，是签署 Windows 启动加载器等关键组件的生产级证书，将在 2026 年 10 月过期。

这些证书覆盖 Windows 10、Windows 11、包括 LTSC 和 LTSB 版本在内的所有版本，以及 Windows Server 2012 至 Windows Server 2025 之间的所有版本。

谁会受到影响

大多数个人用户和普通企业用户不会受到严重影响。只要系统能够正常联网并启用 Windows 更新机制，微软将在未来几个月通过累积更新自动推送新的签名证书，替换旧的证书，无需用户手动操作。

真正可能受影响的包括以下几类用户：

一是长期不联网的系统，例如某些涉密环境、制造业内网设备、部分政府机构设备等，这些系统无法通过 Windows Update 自动获取证书更新。

二是手动关闭更新、冻结版本、阻止远程连接的环境，这类设备可能会在证书过期后无法正常启动系统。

三是安装了双系统或多系统的用户，尤其是在 Windows 与 Linux 或 macOS 并存的情况下。Linux 系统中常用的 shim 引导加载器依赖微软签名，一旦证书过期且未更新，系统引导可能失败。微软会尝试帮助更新 shim 所需的证书，但 macOS 则需由苹果方面进行支持。

四是禁用了 Secure Boot 的用户，这类用户的系统不会受到直接影响，但由于 Secure Boot 被关闭，系统在启动阶段将失去关键安全保护。

如何应对

对于联网设备或允许更新的企业终端，建议保持系统更新开启状态，安装所有安全和功能更新。微软将在未来数月内通过正常的累积更新推送新的证书，无需单独安装补丁。

对于无法联网或需手动更新的系统，IT 管理员应提前规划，准备在设备支持的条件下手动部署新版 Secure Boot 证书，避免等到 2026 年证书到期时才被动处理。

企业用户也可以通过组策略或 MDM 工具开启“允许微软管理 Secure Boot 更新”的注册表项配置，并确保系统发送诊断数据，以便微软分批推送相关证书。

最后提醒

一旦 Secure Boot 中的证书过期，而系统未能及时更新，后续将无法验证操作系统引导组件的完整性。更严重的情况将导致设备在开机时直接失败，提示无法启动。为防止此类问题发生，建议从现在开始检查系统更新状态，并关注微软未来发布的证书更换安排。

证书更换工作不仅是一次技术更新，更是确保 Windows 系统安全启动链持续有效的关键保障。企业和组织用户应尽早制定应对策略，避免 2026 年带来潜在的集中性启动故障。

来源：https://techcommunity.microsoft.com/blog/windows-itpro-blog/act-now-secure-boot-certificates-expire-in-june-2026/4426856