
随着微软 2011 年发布的安全启动证书已全部到期或正分阶段陆续失效,各大 PC 厂商均已面向其用户发布了专门的指导说明。惠普、戴尔、华硕、联想、微星、宏碁、三星、LG,乃至微软自家的 Surface 部门,均在官网上开设了支持页面,详细阐释此次证书过渡对其旗下各款设备的具体影响、受支持的机型范围,以及用户需要采取的操作步骤。
安全启动是一项 UEFI 固件功能,它在 Windows 加载之前运行,确保在您开机时仅加载未被黑客或病毒篡改的可信软件。自 2011 年以来为该机制提供信任链的证书将分三个阶段陆续到期:
-微软公司根证书颁发机构 2011 已于 2026 年 6 月 24 日过期
-微软 UEFI 证书颁发机构 2011 已于 2026 年 6 月 27日过期
-微软 Windows 生产私有证书颁发机构 2011 将于 2026 年 10 月 19 日到期

微软已通过 Windows 更新逐步推送 2023 年版替换证书,但这一过程取决于各 OEM 厂商为其硬件发布兼容的 BIOS 更新。需要注意的是,大多数普通用户已经收到了该更新,并且处于安全状态。
话虽如此,以下是各大厂商已发布的相关说明,您可以据此查找自己设备的 OEM,并确认是否已完成更新。
华硕(ASUS)安全启动证书更新指南
华硕在本列表中发布了最为详尽且便于消费者理解的官方文档,其中分别针对消费级与商用设备设置了独立页面。华硕消费级安全启动指南涵盖了所有主流笔记本电脑、台式机及游戏 PC,并明确指出,大多数用户无需任何操作,即可通过 Windows 更新自动获得相关更新。

对于在 Windows 安全中心中看到黄色或红色图标的用户,华硕提供了专门的 PowerShell 命令,用于检查 KEK 和 DB 证书是否已存在。如果缺失,该指南会指导用户手动修改注册表(将 AvailableUpdates 的值设为 0x5944),随后运行名为 Secure-Boot-Update 的计划任务。两次运行该任务之间需要重启一次。
此外,华硕商用 PC 指南还列出了已预装 2023 年版证书的确切机型型号,其中包括大多数于 2024 年及之后上市的机型。未列入该列表的机型则需通过 Windows 更新来完成相关更新。华硕还发布了一份详尽的常见问题解答页面,对八种常见的事件日志错误代码(1801 至 1808)逐一进行说明,包括每种错误的具体含义,以及应联系华硕服务中心还是等待 Windows 更新。
下载联想(Lenovo)安全启动证书
联想的安全启动证书到期指南是各原始设备制造商中最为详尽的之一,按产品系列提供了 BIOS 更新的直接下载链接。联想覆盖了ThinkPad、ThinkCentre、IdeaPad、Legion、Yoga 等多条产品线,并列出了包含 2023 年证书支持的特定 BIOS 版本号。对于每款受支持的机型,联想均提供直达BIOS 下载页面的链接,无需用户在通用驱动程序页面中逐一查找。

联想的文档也明确列出了哪些产品已超出支持期限。对于已达到 “服务生命周期结束” 的设备,将不再提供用于安全启动迁移的BIOS 更新,这与大多数原始设备制造商对停产硬件的处理方式一致。针对企业客户,联想的指南在常规的面向消费者的 Windows 自动更新渠道之外,还提供了 Intune 和 SCCM 的部署说明。
戴尔(DELL)安全启动证书更新指南
戴尔已发布一篇详尽的支持文档,全面介绍了其全线产品在 2011 年证书到期的相关情况,并按产品系列进行了分类。该页面分别涵盖了 Alienware、Inspiron、XPS、Latitude、OptiPlex、Precision、Vostro、Wyse 以及物联网设备,便于用户快速查询特定机型的最新状态。

戴尔的政策规定,凡是在 2026 年 1 月 1 日之前达到生命周期终结的平台,将不再获得用于安全启动过渡的 BIOS 更新。例如,一款 2019 年发布的戴尔 Inspiron 系列笔记本就将被排除在该支持范围之外。
此外,与大多数原始设备制造商相比,戴尔采取了更为宽泛的做法:自 2024 年末起,在所有新平台上同时预装 2011 年和 2023 年的证书,并计划在 2025 年底前将这一双证书策略推广至所有出厂设备。目前,戴尔尚未公布这一做法的终止日期,从而为企业客户在管理混合设备环境时提供了更大的灵活性。
然而,戴尔的社区帖子记录了一些具体问题,其中一篇关于 XPS 8910 的帖子展示了部分老款戴尔台式机因固件分区达到上限而遇到问题的用户亲身经历,这种情况与宏碁用户所反馈的情况类似。
下载惠普(HP)安全启动证书
惠普的做法分为两条路径。对于消费级惠普电脑,只要设备已安装满足要求的最低版本BIOS,便可经由 Windows 自动更新获得更新,而对于商用惠普电脑,则需遵循一套更为复杂的独立流程。
惠普的商用安全启动指南列出了所有受支持的商用平台及其所需的最低 BIOS 版本字符串,其中特别提到了 SMBIOS 类型 1 的版本字段中包含的 “SBKPFV3” 子字符串,该字符串用于告知 Windows 更新,设备已准备好接收相关证书。

惠普的支持终止时间安排与戴尔大致相同。 2022 年至 2023 年发布的商用 PC 已于 2025 年 9 月前获得所需的 BIOS 更新。 2019 年至 2021 年的机型(以及部分 2018年机型)则在 2025 年 12 月前完成更新。而所有其他 2018 年及更早型号的惠普商用 PC 均已进入生命周期终结,将不再提供更新。
HP 用户应警惕一种其他 OEM 并不存在的特定风险。2026 年初,HP 自行发布的 BIOS 更新导致部分高端商用设备出现 BitLocker 恢复循环和启动失败问题。HP 已确认该问题并推出了修复后的 BIOS 版本。如果您使用的是 HP 设备,请在进行任何与安全启动相关的更新之前,务必先从 HP 官方支持网站下载并安装已修复的 BIOS。

适用于微软 Surface 设备的安全启动证书更新
微软为 Surface 设备专门设立了安全启动证书页面。Surface 设备的固件和 Windows 更新均由微软直接推送,这使得升级过程相较于第三方 OEM 厂商更为简化。

处于主动支持周期内的 Surface Pro、Surface Laptop、Surface Book 和 Surface Studio 机型,将通过常规的 Windows 更新和 Surface 固件更新渠道获得 2023 年证书更新。已超出固件支持期限的旧款 Surface 设备将不会收到该更新,这与微软的固件支持标准政策保持一致。
微星(MSI)安全启动证书更新指南
MSI 的安全引导证书常见问题解答按处理器生成将其指导意见分开。 对于采用英特尔第 7 代至第 11 代或 AMD Ryzen3000H-5000 U 处理器的笔记本电脑,更新将自动通过Windows 自动更新进行,无需 BIOS 闪存。 这些较旧的平台在操作系统级别处理过渡,而不需要 MSI 提供新固件。

对于搭载英特尔第 12 代或 AMD 锐龙 5000H 系列及更新型号处理器的笔记本电脑,微星已推送包含 2023 年证书的 BIOS 更新,其支持页面也直接链接至微星官方驱动与支持下载门户。此外,微星建议在对任何受影响设备进行 BIOS 刷新前,先保存BitLocker 恢复密钥。为确认更新是否成功,微星提示,可通过事件查看器中来源为“TPM‑WMI”、事件 ID 为 1808 的日志条目进行验证:当证书完全应用后,该日志将显示“此设备已更新安全启动 CA/密钥”。
宏碁(Acer)安全启动证书更新指南
宏碁已在旗下 “Acer Answers” 知识库中发布了一份官方指南,介绍了针对其笔记本电脑和台式机的安全启动证书更新。对于受支持的机型,该更新将通过 Windows 更新自动推送。在进行任何操作之前,宏碁首先建议用户找到并备份 BitLocker 恢复密钥,因为 BIOS 更新有时会在下次重启时触发BitLocker 恢复界面。

该指南附带一张型号对照表,涵盖 Aspire、Nitro、Predator、Swift、Extensa、 TravelMate 和 Spin 系列机型,并列出了已确认的 BIOS 发布日期。部分机型已于 2026 年 6 月 12 日至 26 日期间收到 BIOS 更新,而另一些机型仍显示 “处理中”,表明固件仍在准备阶段。如果您的机型属于这一类别,请保持 Windows 自动更新处于运行状态,并定期访问宏碁的支持页面 BIOS 的具体推送时间。
值得注意的是,一些拥有 2020 年至 2022 年前后推出的旧款宏碁设备的用户,包括Aspire TC‑895 系列等机型,在宏碁官方社区论坛上反映,其设备始终停留在黄色图标提示界面,且暂无可用的 BIOS 更新。

这些机型并未出现在官方指南的机型列表中,宏碁也尚未对此作出官方说明。如果您遇到类似情况,请密切关注宏碁的官方支持页面,因为该公司可能会在未来陆续增加更多支持的机型。
查看三星(Samsung)安全启动证书更新指南
三星在其三星支持新闻提醒页面上发布了一份韩文版支持公告,涵盖所有运行 Windows 10 或 Windows 11 的三星个人电脑。经翻译可知,三星确认在 2011 年证书到期后,这些设备仍可正常运行,但针对启动阶段的安全更新及恶意软件防护措施将不再推送至相关设备。

三星建议,对于 Galaxy Book 3 及更早型号的设备,请通过 Windows 更新自动完成升级。若需尽快更新,可参考微软提供的手动更新指南。
LG 安全启动证书更新指南
LG 发布了《Windows 安全启动证书更新与故障排除指南》,涵盖其 gram 系列及其他 LG 个人电脑产品线。该指南详细介绍了 Windows 安全应用中的状态指示,并建议用户在 Windows 更新未能自动完成证书安装时,前往官网为特定的 LG 电脑型号检查并安装最新 BIOS 更新。

如何查看您的电脑是否已安装 2023 年证书?
打开 “Windows 安全中心”,转到 “设备安全性”,然后找到 “安全启动” 部分。如果显示绿色图标,说明 2023 年证书已成功应用,无需采取任何操作。






Windows 10 用户也未被落下。Windows 10 的 2026 年 5 月更新 KB5087544 新增了安全启动证书状态报告功能,使 Windows 安全中心在 Windows 10 上也能像在 Windows 11 上一样显示绿色、黄色或红色的状态提示。
需要注意的是,部分电脑在安装近期更新后曾多次重启,这主要是因为,证书更新过程会分阶段写入固件,需要通过多次重启才能完成。此外,Windows 系统中新出现的 SecureBoot 文件夹也是该流程的一部分,建议不要动它。

我们已经全面阐述了,为何不能简单地无视这一截止期限的技术背景,以及微软工程师就丧失推送新证书吊销机制所带来的风险所作的说明。
关于最新部署情况,微软已于 2026 年 6 月在截止日期前将相关证书推送到所有符合条件的设备。如果您使用的是受支持的设备,并且已安装 2026 年 6 月的周二补丁更新,那么您的电脑很可能已经完成更新。
另外值得一提的是,如果您是一位高效能人士,拓扑梅尔智慧办公平台最近也更新了版本,带来了一些新的办公小工具,可以帮助您进一步提升日常工作效率。
您的电脑更新了最新版的安全启动证书了吗?有没有遇到什么问题呢?
夜雨聆风