Windows的6月份安全启动证书过期如何查看是否过期是否需要更新如何操作

Windows 安全启动证书过期重要提示：

大多数Windows 设备使用的安全启动证书从2026年6月开始过期。
若未能及时更新，这可能影响某些个人和企业设备安全启动的能力。为避免中断，建议查看指南并提前采取措施更新证书。
有关详细信息和准备步骤，请参阅Windows 安全启动证书过期和 CA更新。
微软的这个提醒公告，
怎么能知道自己的电脑是否已经更新了这个证书？有没有简单的方法可以查看确认？

一、结论：

1. 先区分设备要不要处理

• Legacy BIOS（无SecureBoot）：完全不受证书过期影响，无需任何操作；

• UEFI+BIOS已开启SecureBoot：才需要核验2023证书。

2. 优先3种安全查验（无任何风险）

1. 注册表查看状态（管理员CMD）
reg query HKLM\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing /v UEFICA2023Status

• Updated：已完成更新 ✅

◦ NotStarted：系统未触发自动更新

（说明：
返回 UEFICA2023Status REG_SZ Updated → ✅ 固件层已写入 2023 CA，无需任何操作

•返回：找不到该项 / 值为 NotStarted → 系统尚未触发（通常等 Windows Update 补丁到位后会自动处理）

• 提示：找不到路径 → 可能是 Legacy 启动或无 Secure Boot（不受此问题影响））

2. PowerShell查看证书库
[System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

True=已有新证书；
False=仍是旧2011证书

注意：
⚠️ 若提示 Get-SecureBootUEFI : The system could not find the file specified
→ 说明机器是 Legacy BIOS 或未开启 Secure Boot → 此公告与你无关，不用管。

3. 查看系统补丁：
设置→Windows更新→更新历史，
检查有无 KB5062710、KB5087130，这两个是微软自动更新证书的官方补丁。

3.
长期未更新时安全处理步骤（官方推荐顺序）

1. 第一步：
开启Windows自动更新，正常安装所有累积补丁
补丁到位后系统会在闲置时自动后台静默更新SecureBoot证书，全程无风险；

2. 第二步：
Windows更新长期收不到补丁→升级主板BIOS固件：
去笔记本/主板品牌官网，
下载对应机型最新BIOS刷入，新版固件预装2023安全启动证书，从固件层解决；

3.
第三步：必须手动更新前的前置避险（万不得已才操作）
① 有BitLocker：控制面板→BitLocker→暂停保护（暂停1次重启）；
② 备份重要资料；
③ 优先通过Windows可选更新/OEM固件更新，仍无效再考虑微软官方单独证书安装包，禁用注册表强制触发任务。

三、补充误区说明

1. 修改 AvailableUpdates 注册表是绕过系统调度强行启动证书写入，不属于微软公开官方操作方案，仅运维应急特例使用；

2. 证书分两处：系统OS内置证书 + UEFI固件DB证书，仅打系统补丁只能更新系统侧，老旧BIOS必须刷固件才能写入固件层新证书。

微软公告指的就是 UEFI Secure Boot DB 里的 "Windows UEFI CA 2011" 将于 2026‑06‑30 到期，需由 Windows UEFI CA 2023 接替。

注意：
系统补丁 ≠ 自动写入老 BIOS，
老主板必须靠固件更新。