最近微软CA2011证书过期的事闹的人心惶惶,部分标题党更是添油加醋,其实简单了解一下,并没有多大的事。实际本人也一直有关注,直到今天了解得比较多一些了,做了各种测试才写篇文章简单说一下这个事情。

1、微软CA2011证书过期是否就不能启动了。
不会,就算过期了,安全启动一样可以用,启动依然正常。
2、系统是否支持2023证书启动
支持,系统支持2011证书与2023证书启动,只要是2023年哪个补丁开始都支持双证书。你就直接理解成含2024年补丁以后的系统都支持双证书。(Win7除外)
3、要不要升级微软2023证书
随意,想升就升,不想升就不管。如果升级了2023证书,千万不要手动去删除2011证书就行。一般人也不知道怎么删:)
4、如何升级微软2023证书
常用工具有下载,https://2345dn.com/tool.html#uefica
下载Secure_Boot_Windows_UEFI_CA_2023_Updater.rar,解压后有4个批处理,运行1与2,然后重启,等系统自动按计划更新证书即可。是否更新完成可直接通过附带的工具查询。
5、升级完证书是不是使用2011证书的PE就不能引导了
不会,升级完证书照样能正常引导。升级完后2011证书与2023证书会共存,系统引导证书用那个版本就优先调用哪个证书。
6、PE有没有必要使用2023证书
个人建议优先用2011证书的PE,因为目前大部分电脑是2011证书,就算升级到2023证书的主板依然能支持2011证书。
7、为什么有些2023证书的主板不支持2011证书的PE
因为有少量主板只有2023证书,针对这种情况,有三种解决方案。
(1)关闭安全启动,后续不开启,无视证书版本。
(2)关闭安全启动,再进入PE安装系统,安装完系统不要重启,使用更新2023证书工具将引导修复成2023证书,重启再打开安全启动。(此工具仅支持64位系统修复与64位PE运行)
更新2023证书工具
(3)将PE升级为2023证书,在推荐PE中,我提供了PE升级为2023证书教程与文件。(但系统分区的引导还是2011证书,所以还需要用方案二中的更新2023证书工具,更新引导证书,方案三只是减少了进bios关闭与打开安全启动的步骤。)
8、能否让PE支持2011证书与2023证书
能,需要让U盘再多分一个EFI区来支持2023引导(放上2023证书的PE引导文件)。但是目前没有看到比较友好的自动化工具,操作偏复杂,建议多备一个U盘。或者参考问题7中的解决方案。
9、等待补充中。