nicht vergessen: UEFI-Zertifikate Eurer EFI-Disk Instanzen 06.2026!

[fabian]

Hallo @fiona

kannst du was zu EFI + SecureBoot für den Host sagen, was die Zertifikate angeht?

Da gibt es ja einmal
integrity: Loaded X.509 cert 'Proxmox Server Solutions GmbH: Secure Boot CA: b5f1b11e482db5869329cb975aa35205f872cd7a'

und dann die Microsoft Zertifikate
integrity: Loaded X.509 cert 'Microsoft Corporation: Windows UEFI CA 2023: aefc5fbbbe055d8f8daa585473499417ab5a5272'

Braucht PVE beide Zertifikate oder nur eines davon künftig für EFI + SecureBoot?

der derzeitige shim ist nur mit dem "alten" microsoft key signiert (wie bei fast allen distros - microsoft signiert erst seit letztem herbst mit dem neuen key, und die review und submission prozesse sind langwierig), funktioniert out of the box also nur auf systemen die diesem vertrauen. wir hoffen bald ein shim update auf 16.1 mit signature mit dem alten und neuen microsoft key durchfuehren zu koennen - diese version sollte dann out of the box auf systemen funktionieren, die mind. einem der beiden keys vertrauen.

wie dein system an das neue microsoft zertifikat kommt haengt von der UEFI firmware ab - manche hersteller bieten updates, bei manchen musst du es haendisch ausrollen. mittels mokutil --pk, mokutil --kek und mokutil --db kannst du abfragen, welche keys aktuell von der firmware enrolled sind. microsoft rollt das neue zertifikat (fuer kompatible firmware - wiederum herstellerabhaengig) mittels windows update aus - fuer das linux equivalent gibts hier ein issue das aber seit februar stagniert: https://github.com/fwupd/fwupd/issues/9731

 

[jim_os]

@jim_os Wenn alle Zertifikate da sind, wird einfach der ms-cert=2023k Marker gesetzt. Sonst werden die fehlenden Zertifikate eingespielt und der ms-cert=2023k Marker wird gesetzt.

Hallo @fiona

Danke für Deine Rückmeldung. OK dann werde ich jetzt gleich mal den Enroll Updated Certificates "Knopf" benutzen. Mal sehen was dann passiert und was mir im Anschluss bei der Windows 11 VM unter EFI-Disk angezeigt wird.

Nur FYI: Ich habe erst noch ein manuelles Backup von der Windows 11 VM angestoßen und da erscheint jetzt auch noch ein Hinweis bzgl. "EFI disk without 'ms-cert=2023k'" option:

INFO: Starting Backup of VM 104 (qemu)
INFO: Backup started at 2026-05-06 15:12:04
INFO: status = stopped
INFO: backup mode: stop
INFO: ionice priority: 7
INFO: VM Name: vmwin11
INFO: include disk 'ide0' 'local-lvm:vm-104-disk-1' 100G
INFO: include disk 'efidisk0' 'local-lvm:vm-104-disk-0' 4M
INFO: include disk 'tpmstate0' 'local-lvm:vm-104-disk-2' 4M
INFO: skip unused drive 'FBWDUSB:104/vm-104-disk-0.qcow2' (not included into backup)
INFO: creating vzdump archive '/mnt/pve/FBWDUSB/dump/vzdump-qemu-104-2026_05_06-15_12_04.vma.zst'
INFO: starting kvm to execute backup task
EFI disk without 'ms-cert=2023k' option, suggesting that not all UEFI 2023
certificates from Microsoft are enrolled yet. The UEFI 2011 certificates expire
in June 2026! The new certificates are required for secure boot update for Windows
and common Linux distributions. Use 'Disk Action > Enroll Updated Certificates'
in the UI or, while the VM is shut down, run 'qm enroll-efi-keys 104' to enroll
the new certificates.

Edit: OK hat funktioniert.


VG Jim

 

[Ronny1978]

Tut mir leid, dass ich hier noch einmal nachfragen, muss: Die VM's ist okay mit dem Pre-enroll keys. Wenn ich jetzt beim Proxmox Host

dmesg | grep cert

eingebe, erhalte ich die Ausgabe:

root@pve:~# dmesg | grep cert
[    1.186541] Loading compiled-in X.509 certificates
[    1.187059] Loaded X.509 cert 'Build time autogenerated kernel key: 17f5bdaaecdf97305d5850ca0f158690f322f352'
[    1.243887] Loading compiled-in module X.509 certificates
[    1.244127] Loaded X.509 cert 'Build time autogenerated kernel key: 17f5bdaaecdf97305d5850ca0f158690f322f352'
[    3.347215] cfg80211: Loading compiled-in X.509 certificates for regulatory database
[    3.347470] Loaded X.509 cert 'benh@debian.org: 577e021cb980e0e820821ba7b54b4961b8b4fadf'
[    3.347652] Loaded X.509 cert 'romain.perier@gmail.com: 3abbc6ec146e09d1b6016ab9d6cf71dd233f0328'
[    3.347838] Loaded X.509 cert 'sforshee: 00b28ddf47aef9cea7'
[    3.348006] Loaded X.509 cert 'wens: 61c038651aabdcf94bd0ac7ff06c7248db18c600'

Frage 1: Muss ich jetzt bei PVE Host handeln? und
Frage 2: Wie?

Ich habe das beim Host noch nicht ganz kapiert. Oder muss ich den Proxmox Host jetzt ins Bios booten und schauen, ob da Secure Boot aktiviert ist oder nicht? Und wenn nicht, muss ich da was tun oder ist alles im grünen Bereich.

Gibt es einen Befehl der mir in der PVE Shell ausgibt, ob Secure Boot aktiviert ist und ein Handeln erforderlich ist?

Danke für eure Hilfe. Die vielen Info überrollen mich gerade etwas