nicht vergessen: UEFI-Zertifikate Eurer EFI-Disk Instanzen 06.2026!

T

Treptower

Well-Known Member
Apr 18, 2021
108
22
58
beispielhaft hier mal ein Bild einer Instanz [160] mit EFI-Disk:

1775210341200.png

Denkt an die Erneuerung der UEFI-Zertifikate, wenn noch nicht geschehen!
Das betrifft nicht nur Windowsmaschinen!

Das Vorgehen hier wäre für die ID:160:
  • VM herunterfahren
  • Backup erstellen (ggf. Hinweise im LOG beachten!)
  • VM unten lassen
  • Proxmox Shell öffnen
    Code: 
    qm enroll-efi-keys 160
  • VM starten und sie testen
  • Backup erstellen
 
  • Like
Reactions: knut4linux and NetSecond
Das reicht leider nicht. Bei Windows Server muss man die Zertifikate manuell installieren, siehe Link unten.

Code: 
Windows Server 2025 certified server platforms already include the 2023 certificates in firmware. For servers that do not,
IT administrators must manually update the certificates, because Windows Server does not receive them automatically.
Unlike Windows PCs, which receive the 2023 Secure Boot certificates through Controlled Feature Rollout (CFR) as part of the
monthly update process, Windows Server requires manual action.
https://techcommunity.microsoft.com...ook-for-certificates-expiring-in-2026/4495789

Noch ein Thread zu diesem Thema
https://forum.proxmox.com/threads/secure-boot-–-microsoft-uefi-ca-2023-certificate-not-included-in-efi-disk.173417/
 
Last edited:
  • Like
Reactions: NetSecond
Ich war bisher der blauäugigen Meinung, maximal eine VM herunterfahren zu müssen und anschließend qm enroll-efi-keys <VMID> würde ausreichen, zumindest sofern kein bitlocker verwendet wird.

Wie denn nun? Tatsächlich einzeln in den guests rumbasteln?
 
Last edited:
TErxleben said:
Ich war bisher der blauäugigen Meinung, maximal eine VM herunterfahren zu müssen und anschließend qm enroll-efi-keys <VMID> würde ausreichen, zumindest sofern kein bitlocker verwendet wird.

Wie denn nun? Tatsächlich einzeln in den guests rumbasteln?
Click to expand...
Soweit ich das gelesen haben ist bei den Windows Servern Handarbeit angesagt, Windows Client sollen das mittels Update selber machen.
Ist halt auch die Frage ob man unbedingt Secure Boot benötigt oder darauf verzichen kann.
 
ThoSo said:
Ist halt auch die Frage ob man unbedingt Secure Boot benötigt oder darauf verzichen kann.
Click to expand...
Das war/ist auch immer mein Gedanke. Kein Secureboot und die Nummer ficht mich nicht an.
Ich glaube, ich werde beobachten was nach Ablauf der Frist geschieht und dann erst evtl. mit den Flügeln flattern
 
Last edited:
  • Like
Reactions: Johannes S
Wenn die Zertifikate nicht vor Ablauf erneuert werden, können sie danach nicht mehr aktualisiert werden. Wie auch - es gibt dann ja keine gültigen Zertifikate mehr, die die neuen installierbar und verifizierbar machen.
 
boisbleu said:
Wenn die Zertifikate nicht vor Ablauf erneuert werden, können sie danach nicht mehr aktualisiert werden. Wie auch - es gibt dann ja keine gültigen Zertifikate mehr, die die neuen installierbar und verifizierbar machen.
Click to expand...
Die möglichen Folgen sind mir ja durchaus bewusst. Darum frage ich ja.
Nebenbei lasse ich mich nur sehr ungern am Nasenring durch die Manege führen. Das sind Mafiamethoden. "Wenn du bis zum Tag X nicht reagierst, dann hast du ein Problem!"

Ohne Secureboot oder gar Bitlocker sollte das Zertifikatsgepfriemel doch aber wohl Wumpe sein?
Nur darum geht es mir.

Wer die Technik bewusst einsetzt, muss halt schwitzen und strampeln. Ich benutze sie genau darum bewusst nicht, möchte aber auch nicht auf die Nase fallen, weil ich irgendwas nicht auf dem Zettel hatte.

Sind wir also üblerweise tatsächlich soweit, dass ein simpler Zertifikationsrevoke deine Systeme lahmlegt?
Oder betrifft es nur die "paar" Menschen, die auf den altruistischen Weltmarktführer setzen?
Was müssen Menschen mit Baremetalinstallationen erst befürchten?

Nebenbei frage ich mich, warum ich mit einer extra angelegten EFI-Disk einer VM keine gültigen Keys automatisiert unterschieben kann. Also Müll löschen und mit gültiger Version ersetzen.
Fragen über Fragen.

P.S.:
Kannst du also, anstatt mögliche Folgen zu beschreiben, was passieren könnte, versichern das es ohne "Secureboot" keine Probleme gibt? Oder fehlt dir gerade die Zeit, weil du gerade in der Registry von x VMS dengelst?
 
Last edited:
You must log in or register to reply here.
Top Bottom
Back