更新时间:2025-08-20 GMT+08:00

更新桌面安全启动证书

操作场景

制作Win11镜像时,桌面安全启动证书为第三方提供的2011版本证书,当证书吊销或失效时可能会导致桌面异常,2023版本证书不支持直接导入至桌面,为保证桌面正常使用,请通过以下操作将桌面内的安全启动证书更新至2023版本。

前提条件

已制作Win11镜像及发放弹性云服务器

获取2023版本证书:

  • 获取平台密钥:在获取证书页面中的“PKpub”参数右侧单击下载“windows oem devices pk.cer”密钥。
  • 获取密钥交换密钥: 在获取证书页面中的“Microsoft Corporation KEK 2K CA 2023”参数右侧单击下载“microsoft corporation kek 2k ca 2023.crt”密钥。
  • 获取签名数据库密钥:在获取证书页面中的“Windows UEFI CA 2023”参数右侧单击下载“windows uefi ca 2023.crt”密钥。

限制与约束

仅如下操作系统版本支持:

  • Windows 11 23H2企业版
  • Windows 11 24H2专业版
  • Windows 11 24H2企业版
  • Windows 11 24H2企业版LTSC

操作步骤

更新DB证书

将“Windows UEFI CA 2023”证书添加到 UEFI“安全启动签名数据库”(DB)。 通过将此证书添加到数据库,设备固件将会信任由此证书签名的启动应用程序。

  1. 通过账号密码登录弹性云服务器。
  2. 分别执行如下命令更新DB证书。

    1. 在云服务器的开始菜单搜索“命令提示符”,单击“以管理员身份运行”,打开命令提示行窗口。

    执行命令:reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x40 /f

    1. 在云服务器的开始菜单搜索“Windows PowerShell”,单击“以管理员身份运行”,进入Windows PowerShell运行窗口。

    执行命令:Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  3. 在云服务器的开始菜单搜索“Windows PowerShell”,单击“以管理员身份运行”,进入Windows PowerShell运行窗口。

    [System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023'

    结果返回为“True”说明数据库已成功更新。

更新设备上的启动管理器

在设备上安装使用“Windows UEFI CA 2023”证书签名的启动管理器应用程序。

  1. 在云服务器的开始菜单搜索“命令提示符”,单击“以管理员身份运行”,打开命令提示行窗口。

    执行命令:reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x100 /f

  2. 在云服务器的开始菜单搜索“Windows PowerShell”,单击“以管理员身份运行”,进入Windows PowerShell运行窗口。

    执行命令:Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  3. 重启云服务器。

检查2023证书是否已更新

检查bootmgfw.efi”文件是否由“Windows UEFI CA 2023”证书签名

  1. 在云服务器的开始菜单搜索“命令提示符”,单击“以管理员身份运行”,打开命令提示行窗口。
  2. 以管理员身份装载 EFI 分区,以做好检查准备。

    执行命令:mountvol s: /s

  3. 将bootmgfw.efi配置文件拷贝至C盘,以便查看。

    执行命令:copy S:\EFI\Microsoft\Boot\bootmgfw.efi c:\bootmgfw_2023.efi

  4. 右键单击文件 C:\bootmgfw_2023.efi,单击“属性”,然后选择 “数字签名” 选项卡。
  5. 单击“详细信息”,然后单击“查看证书(V)”。
  6. 在弹出的证书详情页面单击“证书路径”页签,如下所示。

    如查看的证书非2023版本,请重新执行457~11步骤。

吊销2011证书

吊销2011证书之后,由于之前的镜像校验配置的证书为2011,重启之后ECS就会无法正常启动。

  1. 将“Windows 生产 PCA 2011”证书添加到安全启动 UEFI 禁止列表 (DBX)

    分别执行如下命令:
    1. 在云服务器的开始菜单搜索“命令提示符”,单击“以管理员身份运行”,打开命令提示行窗口。

    执行命令:reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x80 /f

    1. 在云服务器的开始菜单搜索“Windows PowerShell”,单击“以管理员身份运行”,进入Windows PowerShell运行窗口。

    执行命令:Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

  2. 在云服务中按“Win + r”,在弹出的运行框中输入“eventvwr.msc”,打开“事件查看器”。
  3. 在事件查看器页面依次单击“Windows日志 > 系统”。
  4. 在事件ID中查看“1037”事件,验证是否已成功应用安装和吊销列表。

删除临时admin用户

临时用户为14章节中创建的用户。

  1. 右键单击左下角的,选择“运行”。

    弹出“运行”对话框。

  2. “打开”中输入“sysdm.cpl”,按“Enter”

    弹出“系统属性”窗口。

  3. 在“高级”页签,在“用户配置文件”区域,单击“设置”。

  4. 在“用户配置文件”页面,选中待删除的用户名的配置文件,单击“删除”。
  5. 单击“确定”。
  6. 关闭“系统属性”窗口。
  7. 单击开始 > 运行

    弹出“运行”对话框。

  8. “打开”中输入“compmgmt.msc”,按“Enter”

    弹出“计算机管理”窗口。

  9. 在计算机管理窗口导航树中,选择“系统工具 > 本地用户和组 > 用户”。
  10. 在右边窗格中,右键单击待删除的用户名,选择“删除”。
  11. 单击“是”。
  12. 单击“确定”
  13. 关闭“计算机管理”窗口

制作镜像

  1. 在弹性云服务器列表页面,在待创建镜像的云服务器操作列“更多 > 镜像/备份 > 创建镜像”。

配置2023版本证书和安全启动

  1. 参考前提条件中获取2023版本证书。
  2. 通过账号密码登录弹性云服务器。
  3. 31获取的证书密钥转换为Base64编码。
  4. 在云服务器的开始菜单搜索“Windows PowerShell”,单击“以管理员身份运行”,进入Windows PowerShell运行窗口。

    执行如下命令将证书转换成Base64编码。

    [System.Convert]::ToBase64String([System.IO.File]::ReadAllBytes("windows oem devices pk.cer证书存放路径")) | Out-File -FilePath "windows oem devices pk.base64证书生成路径" -NoNewline

    [System.Convert]::ToBase64String([System.IO.File]::ReadAllBytes("microsoft corporation kek 2k ca 2023.crt证书存放路径")) | Out-File -FilePath "microsoft corporation kek 2k ca 2023.base64证书生成路径" -NoNewline

    [System.Convert]::ToBase64String([System.IO.File]::ReadAllBytes("windows uefi ca 2023.crt证书存放路径")) | Out-File -FilePath "windows uefi ca 2023.base64证书生成路径" -NoNewline

    以上命令中的3个证书存放路径和3个证书的生成路径需要根据实际情况替换。

    以“windows oem devices pk.cer”证书为例:

    • 证书存放路径示例:“C:\windows oem devices pk.cer”。
    • 证书生成路径示例:“C:\windows oem devices pk.base64”。

  5. 调用接口,开启安全启动和VTPM。

    1. 获取image_id,在弹性云服务器页面左侧导航栏单击“镜像服务”。
    2. 在镜像服务页面,获取镜像ID,如图1所示。
      图1 镜像ID
    3. 按照以下模板,根据说明进行编辑后备用。
      以下参数取值需要进行替换:
      • $__platform_key替换为34中生成的“windows oem devices pk.base64”证书中的内容。
      • $__key_exchange_key替换为34中生成的“microsoft corporation kek 2k ca 2023.base64”证书中的内容。
      • $__signature_database替换为34中生成的“windows uefi ca 2023.base64”证书中的内容。

      拷贝34中密钥内容时,不拷贝首行“-----BEGIN CERTIFICATE-----”和末尾“-----END CERTIFICATE-----”。

      [
          {
          "op": "add",
          "path": "/__support_tpm",
          "value": "true"
      },{
          "op": "add",
          "path": "/__support_secure_boot",  
          "value": "true"
        },
        {
          "op": "add",
          "path": "/__platform_key",         
          "value": "$__platform_key"      
        },
        {
          "op": "add",
          "path": "/__key_exchange_key",
          "value": "$__key_exchange_key"   
        },
        {
          "op": "add",
          "path": "/__signature_database",
          "value": "$__signature_database"  
        }
      ]
    1. 通过API Explorer调用接口。
      1. 根据实际情况下拉选择“Region”。
      2. 输入image_id,镜像ID为35.b中获取的值。
      3. 单击“切换为文本输入”,并输入35.c中的编辑好的内容。
      4. 单击“调试”,如图2所示。
        图2 调用接口

  1. 使用创建的镜像在云桌面管理控制台发放桌面。

    云桌面支持定时定点创建桌面快照,创建桌面快照主要目的是为了实现数据的快速备份和恢复,当出现个人误操作、软件不兼容、系统崩溃或故障、软件冲突等问题时,通过快照恢复功能可以让您的桌面快速恢复到之前的状态,避免数据丢失和工作中断。