2011 年签发的 Windows 安全启动证书将于2026 年 6 月正式到期，这批证书扎根在电脑 UEFI 固件底层，是保障系统启动安全的核心凭证。目前微软正在批量推送 2023 版新证书完成替换，但仍有大量电脑未完成更新。证书过期后虽不会直接导致电脑无法开机，却会让设备失去启动层安全补丁、固件更新的支持，大幅提升被启动类恶意程序攻击的风险。

在这篇文章中简鹿办公将手把手教大家检测证书状态、完成更新，同时针对老旧硬件、无法获取固件更新等特殊情况提供解决方案，并区分 Windows 10 与 Windows 10 不同处理规则。

一、安全启动证书过期，到底有哪些影响

安全启动是 Windows 内置的底层安全机制，依靠数字证书校验启动项、驱动、固件的合法性，拦截恶意程序在系统启动阶段入侵电脑。本次即将过期的是沿用 15 年的旧版 UEFI CA 证书，替换为全新的Windows UEFI CA 2023证书是微软统一的安全升级动作。

正常开机不受影响：证书到期后，电脑依旧可以正常启动、运行日常软件，基础 Windows 更新也能正常接收；

核心安全功能受限：无法获取安全启动数据库、证书吊销列表以及启动层漏洞修复补丁，面对 BlackLotus 等启动级病毒、恶意程序将失去防护能力；

软硬件兼容隐患：后续升级系统、安装新版主板固件、特殊驱动时，极易出现校验失败、安装中断等问题；

Windows 10 特殊限制：微软明确，未订阅扩展安全更新（ESU）的 Windows 10 设备，将不会获得新版证书推送，2026 年 10 月 14 日 Windows 10 终止支持后，这类设备也无官方补救方案。

二、第一步：管理员权限检测证书状态（通用方法）

优先使用 PowerShell 命令精准查验当前证书版本，该方法适配 Windows 10、Windows 11 全版本，操作简单、结果直观。

点击电脑左下角开始菜单，在搜索框输入 PowerShell；在搜索结果中右键点击Windows PowerShell，选择以管理员身份运行（必须管理员权限，否则命令无法执行）；

完整复制粘贴下方命令，按下回车键执行：

([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')

查看返回结果：

显示 True：你的电脑已成功安装 2023 新版证书，无需任何操作，可放心使用；

显示 False：设备仍在使用即将过期的旧证书，请继续按照下文步骤完成更新。

三、第二步：常规修复 通过 Windows Update 自动更新证书

绝大多数 Windows 11 设备可通过系统自带更新完成证书替换，这是微软推荐的首选方案，优先尝试此方法。

打开电脑设置（快捷键 Win+I），进入 Windows 更新；

点击 检查更新，系统会自动扫描并下载包括新版安全启动证书在内的累积补丁；

按照提示完成安装，根据要求重启电脑；

重启后，再次执行上文 PowerShell 检测命令，确认结果变为 True 即更新成功。

补充说明：部分品牌笔记本、台式机（戴尔、惠普、联想、华硕等），若系统更新后证书依旧未更新，问题大概率出在主板 OEM 固件上。此时请前往电脑品牌官方支持网站，根据设备具体型号下载并安装最新 BIOS/UEFI 固件，固件更新完成后再重复一次 Windows 系统更新即可。

四、第三步：无固件更新？注册表手动绕过方案

部分老旧电脑、停产机型，厂商已停止推送固件更新，无法通过常规方式替换证书。微软提供了无需修改 BIOS 的注册表临时解决方案，适合硬件老旧但仍在使用 Windows 11 的设备。

重要提醒：请严格按照步骤操作，命令不要手动修改，操作前建议关闭杀毒软件，操作完成后务必重启设备。

1、点击开始菜单，搜索 命令提示符（CMD），右键选择以管理员身份运行；

2、依次复制粘贴以下两条命令，每粘贴一条就按下一次回车键执行：

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

3、两条命令全部执行完毕后，连续重启电脑两次，让配置完全生效；

4、重启结束后，再次使用 PowerShell 检测证书状态，验证是否更新为新版证书。

五、Windows 10 用户专属解决方案

Windows 10 与 Windows 11 的更新策略完全不同，这部分用户需要格外注意：

普通 Windows 10 用户：没有购买扩展安全更新（ESU）订阅的设备，无论执行系统更新、注册表修改，都无法获取新版安全启动证书；

解决办法：

方案一（推荐）：将系统升级至 Windows 11，彻底适配新版证书与后续安全服务；

方案二（临时过渡）：在 2026 年 10 月 14 日 Windows 10 停服前，订阅微软 ** 扩展安全更新（ESU）** 服务，获取证书更新与额外安全补丁；

未做任何处理的 Windows 10 设备，证书过期后将持续暴露在启动层安全风险中，不建议长期使用。

若你为安装双系统、破解软件等原因手动关闭了 BIOS 中的 Secure Boot（安全启动），多数设备依旧可以完成证书更新。若更新失败，可临时进入 BIOS 开启安全启动，更新完成后再按需关闭即可。

2026 年 6 月安全启动证书到期是全体 Windows 用户需要重视的系统安全事件，虽然不会直接造成电脑瘫痪，但长期使用过期证书会埋下严重安全隐患。

操作优先级建议：PowerShell 检测状态 → Windows 自动更新 → 厂商固件更新 → 注册表手动修复。Windows 11 用户优先依靠系统更新即可解决，老旧硬件可使用微软官方注册表方案兜底；而 Windows 10 用户需尽早规划，要么升级系统，要么订阅 ESU 服务。

建议大家尽快按照教程自查设备状态，在证书正式到期前完成更新，守住电脑底层安全防线。