事件 ID 1801，需要更新安全启动 CA/密钥

事件ID 1801表示安全启动数据库无法验证引导程序签名，解决方法包括：1. 进入BIOS清除并重载出厂密钥，启用安全启动；2. 通过Windows恢复环境进入UEFI固件设置，重置为Setup模式后切换至Custom模式并导入Microsoft UEFI CA 2023证书；3. 离线环境下从厂商获取最新UEFI CAB包，使用命令行工具更新PK、KEK和db文件以恢复签名信任链。

如果您的设备在启动过程中提示事件 ID 1801，表示当前系统的安全启动数据库无法验证引导加载程序或固件的签名，这通常是因为安全启动所需的 CA 或密钥信息缺失或过期。以下是解决该问题的操作方法。

本文运行环境：Dell Latitude 7440，Windows 11

一、通过 BIOS 更新安全启动密钥

此方法通过更新 UEFI 固件中的安全启动密钥数据库（KEK 和 PK），确保系统信任当前安装的操作系统和引导程序。

1、重启计算机，在启动时按 F2 键 进入 BIOS 设置界面。

2、导航至 Secure Boot 菜单，选择 Key Management 选项。

3、选择 Clear All Keys 清除现有密钥（需确认操作）。

4、保存并退出 BIOS，重新进入后选择 Load Factory Keys 恢复默认 CA 证书和平台密钥。

5、启用 Secure Boot Enable 并保存设置。

二、使用 Windows 恢复环境重新配置安全启动

当操作系统仍可部分加载时，可通过恢复环境重置与安全启动相关的策略状态。

1、在登录界面连续点击电源图标并选择“重启”，同时按住 Shift 键 进入高级启动模式。

2、选择“疑难解答” > “高级选项” > “UEFI 固件设置”，然后点击“重启”。

3、进入 UEFI 界面后，找到 Reset to Setup Mode 选项，将其激活。

4、重启后再次进入 UEFI，切换至 Custom Mode 并手动导入 Microsoft 的第三方发布者证书（Microsoft Corporation UEFI CA 2023）。

5、保存更改并正常启动系统。

三、离线更新安全启动数据库文件

适用于企业环境中批量处理设备，通过部署最新的 DB 文件替换旧版签名规则。

1、从设备制造商官网下载对应型号的最新 UEFI CAB 包，包含更新后的 PK、KEK 和 db 文件。

2、将文件解压至 U 盘根目录，并在目标设备上使用管理员权限打开命令提示符。

3、执行命令：bcdedit /set {bootmgr} nointegritychecks off 允许后续签名验证操作。

4、运行 mokutil --import dbxupdate.bin 导入新的吊销列表（如适用）。

5、使用 efivars 工具链将新证书写入非易失性存储区，例如：echo -n "new-db-cert" > /sys/firmware/efi/efivars/db-xxxxxx（需 root 权限）。

以上就是事件 ID 1801，需要更新安全启动 CA/密钥的详细内容，更多请关注php中文网其它相关文章！