Secure Boot（安全启动）旧证书到期解决办法

下载地址：https://wwaru.lanzouu.com/i5KVU3roizqj

从你的描述来看，这很可能与微软针对 **Secure Boot（安全启动）** 的证书吊销更新有关。这类更新并不会要求你去“换一张自己制作的证书”，而是要**更新主板 UEFI 固件里被吊销的证书列表（dbx）**，让那些不再安全的旧启动文件无法通过安全启动验证。

下面我分步详细说明背景、原理和具体操作方法。

—

## 一、背景：为什么“6.24 证书要吊销”

– 微软在修复 **BlackLotus** 等 UEFI 引导漏洞的过程中，发布了对部分早期 Windows 引导管理器签名的吊销。
– 该吊销不是一次性强制生效的，而是分阶段推送，最终会在某个日期（例如你提到的 **6.24**，可能指 2024 年或 2025 年的某个 6 月 24 日窗口）使旧的、不再安全的证书**彻底不可用**。
– 如果不更新安全启动的证书吊销列表（dbx），届时：
– 部分用旧签名的启动介质/U盘可能无法启动；
– 某些旧版本系统或恢复盘可能无法通过安全启动引导；
– 严重时，系统在更新后可能直接蓝屏或无法进入系统。

> 因此，你要做的“更换证书”实际上就是**把新的安全启动吊销列表（dbx）应用到 UEFI 固件中**。

—

## 二、更新方法一（推荐）：通过 Windows 更新自动安装

这是最安全、最简单的方法，微软会以 KB 更新的形式推送。

### 操作步骤
1. **确保当前 Windows 已激活并正常联网**。
2. 进入 **设置 → Windows 更新 → 检查更新**。
3. 安装所有“安全更新”和“关键更新”，尤其是名含 **“Secure Boot”** 或 **KB5025885 / KB5031539 之类** 的更新（具体 KB 号会随时间变化）。
4. **重启电脑**，重启过程中系统会自动将新的 dbx 吊销信息写入固件。
5. 如果更新需要额外重启，可能会在重启后再次自动重启一次，属于正常现象。

> 如果你已经安装了相关更新，但仍然提示需要更新证书，往往还需要**再重启一次**才能真正应用，或者需要手动启用某些注册表项（见下方“手动应用”）。

—

## 三、更新方法二：手动应用吊销更新（适用于自动更新失败）

有时自动更新部署没有完全应用到固件，这时需要手动触发。

### 1. 检查当前吊销状态
以管理员身份打开 **PowerShell**，运行：
“`powershell
Confirm-SecureBootUEFI
“`
如果返回 `True`，说明安全启动已打开。

再运行（需安装 PowerShell 7 或相应模块，但更简单的是进入系统信息）：
– 按 `Win+R`，输入 `msinfo32` 回车。
– 查看 **“安全启动状态”** 是否为“开启”；同时注意 **“安全启动吊销列表版本”** 或类似信息，如果显示旧版本或未更新，就需要手动操作。

### 2. 使用微软官方工具或命令
如果自动更新没成功，可以检查是否安装并启用了吊销更新：

– 确认已安装的安全更新中包含安全启动吊销，例如 **KB5025885**。可在 **设置 → Windows 更新 → 更新历史记录** 里查看。
– 部分吊销需要手动通过注册表启用。微软通常会在 KB 文章里提供步骤，格式大致如下：

以 **KB5025885** 为例（步骤可能因版本而异，请以微软最新文档为准）：
1. 以管理员身份打开命令提示符，运行：
“`cmd
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot /v AvailableUpdates /t REG_DWORD /d 0x40 /f
“`
（具体数值请根据微软官方指引，勿随意使用）
2. 重启电脑。
3. 重启后，系统会在后台应用吊销更新到固件，可能要求再次重启。

**强烈建议**：搜索你当前系统对应的 KB 文章（如“KB5025885 手动应用”），按微软官方提供的注册表值和步骤操作。

—

## 四、更新方法三：通过重置安全启动密钥（适用于固件操作）

如果以上都失败，或者你换了主板、需要从根源刷新安全启动证书库，可直接在 UEFI 设置里操作。

### ⚠️ 警告
– 重置安全启动密钥**会清除所有 OEM 预置的第三方证书**，可能导致某些双系统、外接设备（如某些显卡、网卡）的固件无法通过安全启动验证。
– **操作前务必记下原有设置**，或确认你只用默认 Windows 启动，且之后可以从微软重新加载证书。

### 步骤
1. **重启电脑**，开机时按对应热键进入 UEFI/BIOS 设置（通常是 `Del`、`F2`、`F10` 等）。
2. 找到 **“Security”** 或 **“Boot”** 选项卡。
3. 进入 **“Secure Boot”** 子菜单。
4. 找到 **“Key Management”** 或 **“密钥管理”**。
5. 通常会看到以下选项：
– **Restore Factory Keys（恢复出厂密钥）**
– **Reset to Setup Mode（重置为设置模式）**
– **Clear Secure Boot Keys（清除安全启动密钥）**
6. 选择 **“Restore Factory Keys”** 或先“清除”再“恢复出厂密钥”。
（不同品牌叫法不同：部分厂商提供“Install Default Secure Boot Keys”）
7. **保存并退出（F10）**，系统会自动重启。
8. 进入系统后，再次运行 Windows 更新，确保所有最新的吊销列表都已应用。

—

## 五、补充：如果你是要彻底替换/使用自定义证书

极少数用户需要在 UEFI 里手动替换 PK（平台密钥）、KEK（密钥交换密钥）、db（签名数据库）等。常见于：
– 需要给 Linux 等非 Windows 系统做安全启动签名；
– 企业 IT 使用自签证书管理引导。

但这类操作与你提到的“6.24 证书吊销”通常**无关**。若你确实需要自定义安全启动证书，大致流程是：
1. 进入 UEFI 密钥管理，将安全启动设为 **“Setup Mode”**。
2. 使用工具（如 `efi-updatevar`、`KeyTool`）或 Linux 的 `sbctl` 写入自定义 PK、KEK、db。
3. 重新签名所有启动文件。

这已超出普通用户应对证书吊销的范畴。如果只是应对微软的安全启动吊销，按本文前三种方法操作即可。

—

## 六、常见问题

**Q：更新后无法启动怎么办？**
– 暂时进入 UEFI **关闭安全启动**，看能否进系统，然后重新应用更新或回滚。
– 如果关闭安全启动后仍无法启动，可能是硬盘模式或引导文件损坏，需要用安装 U 盘修复。

**Q：我需要在 6.24 之前完成吗？**
是的，最好在强制吊销日期前主动更新并重启，让系统有足够时间应用 dbx 更新，避免临期被动中断。

**Q：如何知道吊销是否应用成功？**
– 最简单的验证：更新并重启后，系统能正常启动，且 `msinfo32` 里安全启动状态为“开启”，一般即表示成功。
– 更精确可以查看微软提供的验证脚本（部分 KB 文章附带 PowerShell 验证命令）。

—

如果你能提供更具体的场景——例如你看到的提示完整文字、是笔记本还是台式机、当前是否已经无法启动，我可以给出更有针对性的解决步骤。