nicht vergessen: UEFI-Zertifikate Eurer EFI-Disk Instanzen 06.2026!

boisbleu said:
Hallo @fiona

kannst du was zu EFI + SecureBoot für den Host sagen, was die Zertifikate angeht?

Da gibt es ja einmal
integrity: Loaded X.509 cert 'Proxmox Server Solutions GmbH: Secure Boot CA: b5f1b11e482db5869329cb975aa35205f872cd7a'

und dann die Microsoft Zertifikate
integrity: Loaded X.509 cert 'Microsoft Corporation: Windows UEFI CA 2023: aefc5fbbbe055d8f8daa585473499417ab5a5272'

Braucht PVE beide Zertifikate oder nur eines davon künftig für EFI + SecureBoot?
Click to expand...

der derzeitige shim ist nur mit dem "alten" microsoft key signiert (wie bei fast allen distros - microsoft signiert erst seit letztem herbst mit dem neuen key, und die review und submission prozesse sind langwierig), funktioniert out of the box also nur auf systemen die diesem vertrauen. wir hoffen bald ein shim update auf 16.1 mit signature mit dem alten und neuen microsoft key durchfuehren zu koennen - diese version sollte dann out of the box auf systemen funktionieren, die mind. einem der beiden keys vertrauen.

wie dein system an das neue microsoft zertifikat kommt haengt von der UEFI firmware ab - manche hersteller bieten updates, bei manchen musst du es haendisch ausrollen. mittels mokutil --pk, mokutil --kek und mokutil --db kannst du abfragen, welche keys aktuell von der firmware enrolled sind. microsoft rollt das neue zertifikat (fuer kompatible firmware - wiederum herstellerabhaengig) mittels windows update aus - fuer das linux equivalent gibts hier ein issue das aber seit februar stagniert: https://github.com/fwupd/fwupd/issues/9731
 
  • Like
Reactions: ThoSo, jim_os, boisbleu and 1 other person
fiona said:
@jim_os Wenn alle Zertifikate da sind, wird einfach der ms-cert=2023k Marker gesetzt. Sonst werden die fehlenden Zertifikate eingespielt und der ms-cert=2023k Marker wird gesetzt.
Click to expand...
Hallo @fiona

Danke für Deine Rückmeldung. OK dann werde ich jetzt gleich mal den Enroll Updated Certificates "Knopf" benutzen. :) Mal sehen was dann passiert und was mir im Anschluss bei der Windows 11 VM unter EFI-Disk angezeigt wird.

Nur FYI: Ich habe erst noch ein manuelles Backup von der Windows 11 VM angestoßen und da erscheint jetzt auch noch ein Hinweis bzgl. "EFI disk without 'ms-cert=2023k'" option: :)

Code: 
INFO: Starting Backup of VM 104 (qemu)
INFO: Backup started at 2026-05-06 15:12:04
INFO: status = stopped
INFO: backup mode: stop
INFO: ionice priority: 7
INFO: VM Name: vmwin11
INFO: include disk 'ide0' 'local-lvm:vm-104-disk-1' 100G
INFO: include disk 'efidisk0' 'local-lvm:vm-104-disk-0' 4M
INFO: include disk 'tpmstate0' 'local-lvm:vm-104-disk-2' 4M
INFO: skip unused drive 'FBWDUSB:104/vm-104-disk-0.qcow2' (not included into backup)
INFO: creating vzdump archive '/mnt/pve/FBWDUSB/dump/vzdump-qemu-104-2026_05_06-15_12_04.vma.zst'
INFO: starting kvm to execute backup task
EFI disk without 'ms-cert=2023k' option, suggesting that not all UEFI 2023
certificates from Microsoft are enrolled yet. The UEFI 2011 certificates expire
in June 2026! The new certificates are required for secure boot update for Windows
and common Linux distributions. Use 'Disk Action > Enroll Updated Certificates'
in the UI or, while the VM is shut down, run 'qm enroll-efi-keys 104' to enroll
the new certificates.

Edit: OK hat funktioniert. :cool:
Proxmox_Win_VM_Cert2023.png

VG Jim
 
Last edited:
Tut mir leid, dass ich hier noch einmal nachfragen, muss: Die VM's ist okay mit dem Pre-enroll keys. Wenn ich jetzt beim Proxmox Host

Code: 
dmesg | grep cert

eingebe, erhalte ich die Ausgabe:

Code: 
root@pve:~# dmesg | grep cert
[    1.186541] Loading compiled-in X.509 certificates
[    1.187059] Loaded X.509 cert 'Build time autogenerated kernel key: 17f5bdaaecdf97305d5850ca0f158690f322f352'
[    1.243887] Loading compiled-in module X.509 certificates
[    1.244127] Loaded X.509 cert 'Build time autogenerated kernel key: 17f5bdaaecdf97305d5850ca0f158690f322f352'
[    3.347215] cfg80211: Loading compiled-in X.509 certificates for regulatory database
[    3.347470] Loaded X.509 cert 'benh@debian.org: 577e021cb980e0e820821ba7b54b4961b8b4fadf'
[    3.347652] Loaded X.509 cert 'romain.perier@gmail.com: 3abbc6ec146e09d1b6016ab9d6cf71dd233f0328'
[    3.347838] Loaded X.509 cert 'sforshee: 00b28ddf47aef9cea7'
[    3.348006] Loaded X.509 cert 'wens: 61c038651aabdcf94bd0ac7ff06c7248db18c600'

Frage 1: Muss ich jetzt bei PVE Host handeln? und
Frage 2: Wie?

Ich habe das beim Host noch nicht ganz kapiert. Oder muss ich den Proxmox Host jetzt ins Bios booten und schauen, ob da Secure Boot aktiviert ist oder nicht? Und wenn nicht, muss ich da was tun oder ist alles im grünen Bereich.

Gibt es einen Befehl der mir in der PVE Shell ausgibt, ob Secure Boot aktiviert ist und ein Handeln erforderlich ist?

Danke für eure Hilfe. Die vielen Info überrollen mich gerade etwas
 
SecureBoot nutzt du eher nicht - das geben deine Zertifikate gar nicht her.

Auf der PVE Übersichtsseite steht welchen Boot Mode du nutzt, bei dir entweder Legacy BIOS oder EFI. Siehe diesen Screenshot:

J

Post in thread 'nicht vergessen: UEFI-Zertifikate Eurer EFI-Disk Instanzen 06.2026!'

Ich meinte die Einstellung für SecureBoot in dem BIOS meiner Fujitsu Kiste hier auf der der Proxmox Host läuft. Aber mit "Übersichtsseite" meinst Du ja vermutlich das

PVE_Summary.png
und wenn ja wäre meine Frage ja geklärt.

VG Jim
  • Like
 
Last edited:
You must log in or register to reply here.
Top Bottom
Back