2026年6月,大多数Windows设备正在使用的旧UEFI安全启动证书将到期,如果未能及时更新新证书,设备可能会出现无法正常启动的问题。近期微软已经开始向符合条件的Windows 11设备推送新的UEFI安全启动证书更新,不少用户已经收到了相关推送,但也有很多用户还不清楚自己的设备是否在推送范围内,以及没收到推送该怎么手动操作,今天就给大家带来一套实用的操作指南,帮你顺利完成证书更新,避免到期后出现启动故障。
首先你需要快速确认自己的设备是否符合自动推送的条件,当前微软针对Windows 11版本22H2和23H2的全渠道设备(包括Home、Pro、Enterprise等版本)推送更新,你可以按下Win+R组合键,在弹出的运行框中输入msinfo32并回车,在打开的系统信息窗口中,找到“OS名称”查看自己的Windows 11版本,同时查看“安全启动状态”是否为“开启”,只有系统版本在22H2或23H2且安全启动已开启的设备,才能收到自动推送的更新,整个自查过程不到10秒就能完成。
如果你的设备符合条件却没收到自动推送,或者需要手动完成更新,可以按照以下步骤操作。首先确保设备联网,打开Windows更新设置,检查是否有KB5067019累积补丁,该补丁会自动包含新的UEFI安全启动证书更新,确认后点击安装即可。如果依然没有收到补丁推送,你可以前往微软官方的更新目录网站,搜索KB5067019,根据自己的设备系统版本和位数下载对应的独立安装包,下载完成后双击运行安装包,按照提示完成安装即可。
安装完成后,你可以验证新证书是否已经成功加载,按下Win+X组合键选择Windows PowerShell(管理员),在弹出的窗口中输入Get-SecureBootUEFI命令并回车,在返回的结果中,查看活动数据库db的内容,也可以通过命令([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')快速确认新证书是否存在,返回True则说明安装成功。
需要特别注意的是,在之前的更新指南中,曾出现过控制位参数写反的错误,导致部分用户手动修改BIOS控制位后出现安装失败的问题,现在微软已经在2025年11月修正了官方文档,大家在操作时一定要参照最新的官方指南,不要随意手动修改BIOS中的安全启动控制位,避免因操作不当导致设备出现启动异常。目前正值新证书推送的关键期,建议符合条件的用户尽快完成证书更新,避免等到临近到期时集中操作出现问题,如果你在操作过程中遇到疑问,可以前往微软官方支持页面查看详细的修正文档,确保每一步操作都准确无误。
