🔐 安全启动配置指南
本指南将指导您安装 Microsoft 和 ggCircuit Secure Boot 证书到您系统的 UEFI 密钥存储区。让我们按照几个简单步骤为您的系统准备好 Secure Boot!
🛠️ 步骤 1:准备闪存驱动器
- 下载并将其内容解压到任何 USB 闪存驱动器的根目录。
- 为了方便,给驱动器命名为易记的名称,如
ggDrive或KEYTOOL。
✅ 准备好后,您的闪存驱动器应该如下所示:
G:\>dir /S
Volume in drive G is ggDrive
Volume Serial Number is GGCI-RCUIT
Directory of G:\
08/20/2024 06:50 PM EFI
08/20/2024 06:42 PM 2,056 GG.auth
08/20/2024 06:42 PM 781 GG.cer
08/20/2024 06:42 PM 1,462 MicCorKEK2KCA2023.cer
08/20/2024 06:42 PM 1,462 MicCorUEFCA2011_2011-06-27.cer
08/20/2024 06:42 PM 1,462 microsoft uefi ca 2023.cer
08/20/2024 06:42 PM 1,454 MicWinUEFICA2023.cer
08/20/2024 06:42 PM 1,499 MS_CA_2011.cer
08/20/2024 06:42 PM 1,516 MS_KEK_2011.cer
6 File(s) 8,768 bytes
Directory of G:\EFI
08/20/2024 06:50 PM .
08/20/2024 06:50 PM ..
08/20/2024 06:42 PM BOOT
0 File(s) 0 bytes
Directory of G:\EFI\BOOT
08/20/2024 06:50 PM .
08/20/2024 06:50 PM ..
08/20/2024 06:42 PM 136,192 BOOTX64.efi
1 File(s) 136,192 bytes
Total Files Listed:
7 File(s) 144,960 bytes
6 Dir(s) 1,435,224,072,192 bytes free
G:\>
🔑 步骤 2:安装证书
1. 进入 BIOS 设置
- 将闪存驱动器插入目标计算机。
- 启动进入 BIOS(通常在启动时按 F2、Del 或 ESC)。
- 将平台设置为设置模式:
- 这通常涉及删除平台密钥 (PK) 或清除所有 Secure Boot 密钥。
2. 从闪存驱动器启动
- 使用启动菜单(通常为 F8、F12 或 ESC)从 USB 驱动器启动。
- 这将启动 KeyTool.efi。
3. 使用 KeyTool 添加密钥
➕ 密钥交换密钥数据库 (KEK)
- 选择 "编辑密钥" > "密钥交换密钥数据库 (KEK)" > "添加新密钥"
- 添加以下证书:
GG.cerMicCorKEK2KCA2023.cerMS_KEK_2011.cer
➕ 允许的签名数据库 (db)
- 选择 "允许的签名数据库 (db)" > "添加新密钥"
- 添加这些证书:
MicWinUEFICA2023.cerMS_CA_2011.cerMicCorUEFCA2011_2011-06-27.cermicrosoft uefi ca 2023.cerGG.cer
🔁 平台密钥 (PK)
- 选择 "平台密钥 (PK)" > "替换密钥"
- 选择:
GG.auth
🧩 步骤 3:最后的 BIOS 设置
- 按 Ctrl + Alt + Del 重新启动。
- 移除 USB 驱动器。
- 再次进入 BIOS。
- 转至启动选项。
- 启用 Secure Boot(某些系统将其标记为"Windows UEFI 模式")。
⚠️ 在某些系统上,安装平台密钥后会自动启用 Secure Boot。如果没有,请在此处手动启用。
- 保存更改并退出 BIOS。
✅ 确认
启动到 Windows 后:
- 运行
msinfo32.exe
- 确保 BIOS Mode = UEFI
- Secure Boot State = On
- 或者,运行此 PowerShell 命令:
Confirm-SecureBootUEFI 如果返回 True,则 Secure Boot 已成功启用 🎉
更新于: 07/05/2026
谢谢!