企业官网建设流程全解析

本帖是直接的答疑解惑和操作指引，故 UEFI CA 2023 证书是怎么个事儿请参考《怎么个事儿三部曲》：
所以 UEFI CA 2023 证书到底是怎么个事儿？
所以 UEFI CA 2023 证书关我装系统什么事儿？
所以 UEFI CA 2023 证书装系统还关我 PE 的事儿？

好，长按 E 跳过剧情，直入正题。

BIOS 模式有问题吗？

如果你电脑的启动模式是传统 BIOS（Legacy）模式，那么 UEFI 证书问题就算天王老子来了也和你没关系。

UEFI 模式有问题吗？

如果你电脑的启动模式是 UEFI，但没有打开安全启动（SecureBoot），那么这事儿也和你没关系。

UEFI + 安全启动有问题吗？

只有安全启动是开（Enable、On）的时候，才有可能会遇到 UEFI 证书问题。所以记住这个条件，所以如果不打算解决这个问题，或绕过这个问题，或这个问题与您无关紧要，只需要关闭安全启动就可以了。

那么如果遇到安全启动必须开启的环境（例如生产环境）或计算机不提供关闭安全启动的选项时，要怎么做？

警惕安全启动“如开”模式

在讲开安全启动前，必须先预警“如开”模式，就是“开了但没开”的情况。这种问题常发生于默认不开启安全启动的主板上，所以遇到默认不开启安全启动的计算机时，应格外警惕。“如开”的几种情况：

（1）安全启动打开了，但实际上证书是空的，这种情况等同于所有证书都不允许；
（2）安全启动打开了，但没设置证书，需要进一步手动设置证书，这种情况不设置证书=无证书=所有证书都不允许；
（3）安全启动和CMS同时开了，有些主板此二选项不做互斥，但实际上CMS开着=安全启动没开。

排除了“如开”情况后，接下来进入真正的解决问题。

制作多证书支持的 PE

ITSK PE 自 26U3 版本起，支持制作多证书的 PE U 盘

1、选用支持多证书的源系统

只有支持多证书的源系统才可以制作支持多证书的 PE。推荐使用 Win11 25H2 作为源：

2、选中“多证书支持”选项

在设置项中选中“多证书支持”，即可制作同时支持 PCA 2011（旧证书）和 UEFI CA 2023（新证书）的 U 盘 PE：

3、多证书 U 盘结构

制作好后，除 UDATA 数据区外，U 盘将 UPE 和 UPE_EX 两个 PE 分区，分别对应旧、新证书。

都做好之后，接下来说怎么进 PE

UEFI + 安全启动 + 旧证书

这是目前多数计算机最常见的一种组合。

启动后，会在启动项中看到，U 盘中存在 2 个 UEFI 启动项，分别位于 Part 2（分区2）和 Part 3（分区3），或其他表述方法，例如 UEFI xxxx 和 UEFI xxxx 1。其中靠前的选项（Part 2、UEFI xxxx）是旧证书 PE，直接选中进就可以了。

其实判断错了也没关系，判断错了 UEFI 会有证书不匹配提醒，后退一步进另一个就可以了。

UEFI + 安全启动 + 双证书

这种机型里，PCA 2011 和 UEFI CA 2023 证书是同时支持的，常见一些新机型，或一些部署了新证书但暂时未吊销旧证书的机型。

这种机型是最好处理的，启动后，会在启动项中看到，U 盘中存在 2 个 UEFI 启动项，分别位于 Part 2（分区2）和 Part 3（分区3），或其他表述方法，例如 UEFI xxxx 和 UEFI xxxx (1)。选择任意一个进入即可。

UEFI + 安全启动 + 新证书

这种机型不太常见，但估计以后会越来越多。这种机型仅认可 UEFI CA 2023 证书，见于一些安全性要求较高的机型，或双证书机型已吊销旧证书后的状态。

启动后，会在启动项中看到，U 盘中存在 2 个 UEFI 启动项，分别位于 Part 2（分区2）和 Part 3（分区3），或其他表述方法，例如 UEFI xxxx 和 UEFI xxxx 1。其中靠后的选项（Part 3、UEFI xxxx 1）是新证书 PE，直接选中进就可以了。

其实判断错了也没关系，判断错了 UEFI 会有证书不匹配提醒，后退一步进另一个就可以了。

UEFI + 安全启动关闭

别来凑热闹亲，安全启动都关了就没证书啥事儿了，启动项选个进就行了。

UEFI + CMS 开

一般 CMS 开的状态下，即便安全启动的选项是开（Enable、On），也是不起作用的。等同于 UEFI + 安全启动关闭 的情况，但因为 CMS 同时兼容传统 BIOS 模式（Legacy）启动，所以除了 2 个 UEFI 启动项外，还可以看到一个不带 UEFI 标记的启动项，这个启动项即传统 BIOS 模式启动。但仍建议以 UEFI 方式启动，避免不必要的交叉兼容问题。

BIOS（仅 Legacy）

别来凑热闹亲，证书问题和你啥关系，一般这种模式下启动项只能看到非 UEFI 启动的那个选项，进就可以了。

新证书系统安装

安装支持新证书的系统有 4 大前提，缺一不可：
（1）UEFI 是支持新证书或双证书的；
（2）PE 也是支持新证书或双证书的；
（3）系统安装软件支持新证书；
（4）待安装的系统必须是支持新证书或双证书的。

新版 EIX3 已全面支持新证书系统安装，无感操作，全程自动判断证书状况、自行决策。

新证书系统重建引导

重建新证书系统引导
（1）UEFI 是支持新证书或双证书的；
（2）PE 也是支持新证书或双证书的；
（3）引导重建软件支持新证书；
（4）已安装的系统必须是支持新证书或双证书的。

新版 BootR 已全面支持新证书系统引导修复，无感操作，自动判断证书状况、自动修复。

旧证书 PE 下装新证书系统

有朋友问题：
在一台支持双证书的机器上
启动了支持双证书的 PE
但是操作错了，进的旧证书的 PE
请问在旧证书 PE 下
能不能安装新证书的系统？

首先你不是我朋友，你和拧巴是朋友。

答案是：能，但也必须满足上一节提到的 4 大要素。

支持多证书的系统

目前已知的（包括微软官网和可靠第三方）：

Windows 11：
26H1（强烈不推荐）
25H2（微软官网版本，或整合补丁版本）
24H2（整合补丁版本）
23H2（整合补丁版本）

Windows 10：
2021 LTSC（整合补丁版本，不推荐）
2019 LTSC（整合补丁版本，不推荐）

ISO 版 PE 怎么支持双证书？

因 ISO 不能像 U 盘划分多分区，故可以采用：
1、制作一个支持旧证书的 ISO PE；
2、制作一个支持新证书的 ISO PE；
3、使用 ventoy 或其他 ISO 启动软件进行启动。

ITSK PE 已兼容 ventoy 启动，生成 ISO 前开启选项即可：

转自IT天空