关于小米笔记本 Windows 安全启动证书更新的公告说明
为保障您的设备系统启动安全,防范恶意程序在设备开机环节加载运行,现就微软 Windows 安全启动证书更新相关事项,向您进行专项说明与操作指引。
微软官方于 2025 年 10 月 28 日发布《用于安全启动的原始设备制造商 (OEM) 页》公告(KB ID:KB5067177),明确用于 Windows 安全启动校验的 UEFI CA 2011 证书将于 2026 年 6 月开始过期,需要过渡到 UEFI CA 2023 新证书。
安全启动作为 UEFI 固件核心安全标准,是 Windows 设备系统安全的重要基础防线,本次证书更替是微软联合全行业 OEM 厂商推进的常规安全升级动作,旨在持续巩固 Windows 设备的安全启动能力。
小米已第一时间与微软完成技术对接,全力推进小米笔记本产品的适配验证、固件开发与更新推送工作,确保您的设备平稳完成证书过渡,不受旧证书到期影响,持续保障设备启动环节的安全与稳定。
本次证书更替影响设备安全启动校验环节,可能会出现以下情况:
1、部分使用旧证书签名的启动介质、系统安装镜像、WinPE 工具无法正常通过安全启动校验,无法正常启动;
2、企业批量部署的设备,可能出现域环境下的启动校验、系统镜像批量部署异常。请参考面向 IT 专业人员和组织的操作
未接收到新的2023证书的设备仍可正常运行,但将无法再接收来自Windows的部分安全更新。
本次微软同步完成 3 组安全启动证书的版本迭代,旧版证书到期后将逐步停止信任,新版证书将成为 Windows 设备安全启动校验的核心信任根,具体更替信息如下:Windows 安全启动证书过期和 CA 更新
| 即将过期的旧版证书 | 替换新版证书 | 证书核心用途 |
| Microsoft Corporation KEK CA 2011 | Microsoft Corporation KEK CA 2023 | 对安全启动签名数据库、禁止数据库的更新操作进行签名校验 |
| Microsoft Windows 生产版 PCA 2011 | Windows UEFI CA 2023 | 为 Windows 系统引导加载程序提供签名认证 |
| Microsoft Corporation UEFI CA 2011 | Microsoft UEFI CA 2023 | 为第三方引导加载程序、EFI 应用程序提供签名认证 |
| Microsoft Option ROM CA 2023 | 为第三方硬件选项 ROM 固件提供签名认证 |
我们已针对在售及主流存量小米笔记本、REDMI 笔记本,完成适配新安全启动证书的工作,同步完成微软官方合规验证,建议您同步完成 Windows 系统最新累积更新安装,确保系统层面完整适配新安全启动证书。
操作路径:
Windows 设置→Windows 更新,点击「检查更新」,安装所有可用的系统安全更新与累积更新,完成后重启设备即可。
若您在证书适配过程中遇到任何问题,可通过以下官方渠道获取技术支持与帮助:
小米官方服务热线:950816
小米商城 APP / 小米商城官网 - 我的 - 服务中心 - 在线客服
全国线下小米授权服务中心,可通过小米官网查询就近服务网点地址与营业时间
感谢广大用户的理解与支持,我们将持续为您的设备安全与使用体验保驾护航。
有关安全启动证书过期和验证当前设备状态的更多详细信息,请参阅 安全启动证书更新:IT 专业人员和组织指南
还可以通过以下两种方法之一,主动选择在需要安全启动证书更新的设备上部署安全启动证书更新: