nicht vergessen: UEFI-Zertifikate Eurer EFI-Disk Instanzen 06.2026!

[fabian]

Hallo @fiona

kannst du was zu EFI + SecureBoot für den Host sagen, was die Zertifikate angeht?

Da gibt es ja einmal
integrity: Loaded X.509 cert 'Proxmox Server Solutions GmbH: Secure Boot CA: b5f1b11e482db5869329cb975aa35205f872cd7a'

und dann die Microsoft Zertifikate
integrity: Loaded X.509 cert 'Microsoft Corporation: Windows UEFI CA 2023: aefc5fbbbe055d8f8daa585473499417ab5a5272'

Braucht PVE beide Zertifikate oder nur eines davon künftig für EFI + SecureBoot?

der derzeitige shim ist nur mit dem "alten" microsoft key signiert (wie bei fast allen distros - microsoft signiert erst seit letztem herbst mit dem neuen key, und die review und submission prozesse sind langwierig), funktioniert out of the box also nur auf systemen die diesem vertrauen. wir hoffen bald ein shim update auf 16.1 mit signature mit dem alten und neuen microsoft key durchfuehren zu koennen - diese version sollte dann out of the box auf systemen funktionieren, die mind. einem der beiden keys vertrauen.

wie dein system an das neue microsoft zertifikat kommt haengt von der UEFI firmware ab - manche hersteller bieten updates, bei manchen musst du es haendisch ausrollen. mittels mokutil --pk, mokutil --kek und mokutil --db kannst du abfragen, welche keys aktuell von der firmware enrolled sind. microsoft rollt das neue zertifikat (fuer kompatible firmware - wiederum herstellerabhaengig) mittels windows update aus - fuer das linux equivalent gibts hier ein issue das aber seit februar stagniert: https://github.com/fwupd/fwupd/issues/9731

 

[jim_os]

@jim_os Wenn alle Zertifikate da sind, wird einfach der ms-cert=2023k Marker gesetzt. Sonst werden die fehlenden Zertifikate eingespielt und der ms-cert=2023k Marker wird gesetzt.

Hallo @fiona

Danke für Deine Rückmeldung. OK dann werde ich jetzt gleich mal den Enroll Updated Certificates "Knopf" benutzen. Mal sehen was dann passiert und was mir im Anschluss bei der Windows 11 VM unter EFI-Disk angezeigt wird.

Nur FYI: Ich habe erst noch ein manuelles Backup von der Windows 11 VM angestoßen und da erscheint jetzt auch noch ein Hinweis bzgl. "EFI disk without 'ms-cert=2023k'" option:

INFO: Starting Backup of VM 104 (qemu)
INFO: Backup started at 2026-05-06 15:12:04
INFO: status = stopped
INFO: backup mode: stop
INFO: ionice priority: 7
INFO: VM Name: vmwin11
INFO: include disk 'ide0' 'local-lvm:vm-104-disk-1' 100G
INFO: include disk 'efidisk0' 'local-lvm:vm-104-disk-0' 4M
INFO: include disk 'tpmstate0' 'local-lvm:vm-104-disk-2' 4M
INFO: skip unused drive 'FBWDUSB:104/vm-104-disk-0.qcow2' (not included into backup)
INFO: creating vzdump archive '/mnt/pve/FBWDUSB/dump/vzdump-qemu-104-2026_05_06-15_12_04.vma.zst'
INFO: starting kvm to execute backup task
EFI disk without 'ms-cert=2023k' option, suggesting that not all UEFI 2023
certificates from Microsoft are enrolled yet. The UEFI 2011 certificates expire
in June 2026! The new certificates are required for secure boot update for Windows
and common Linux distributions. Use 'Disk Action > Enroll Updated Certificates'
in the UI or, while the VM is shut down, run 'qm enroll-efi-keys 104' to enroll
the new certificates.

Edit: OK hat funktioniert.


VG Jim

 

[Ronny1978]

Tut mir leid, dass ich hier noch einmal nachfragen, muss: Die VM's ist okay mit dem Pre-enroll keys. Wenn ich jetzt beim Proxmox Host

dmesg | grep cert

eingebe, erhalte ich die Ausgabe:

root@pve:~# dmesg | grep cert
[    1.186541] Loading compiled-in X.509 certificates
[    1.187059] Loaded X.509 cert 'Build time autogenerated kernel key: 17f5bdaaecdf97305d5850ca0f158690f322f352'
[    1.243887] Loading compiled-in module X.509 certificates
[    1.244127] Loaded X.509 cert 'Build time autogenerated kernel key: 17f5bdaaecdf97305d5850ca0f158690f322f352'
[    3.347215] cfg80211: Loading compiled-in X.509 certificates for regulatory database
[    3.347470] Loaded X.509 cert 'benh@debian.org: 577e021cb980e0e820821ba7b54b4961b8b4fadf'
[    3.347652] Loaded X.509 cert 'romain.perier@gmail.com: 3abbc6ec146e09d1b6016ab9d6cf71dd233f0328'
[    3.347838] Loaded X.509 cert 'sforshee: 00b28ddf47aef9cea7'
[    3.348006] Loaded X.509 cert 'wens: 61c038651aabdcf94bd0ac7ff06c7248db18c600'

Frage 1: Muss ich jetzt bei PVE Host handeln? und
Frage 2: Wie?

Ich habe das beim Host noch nicht ganz kapiert. Oder muss ich den Proxmox Host jetzt ins Bios booten und schauen, ob da Secure Boot aktiviert ist oder nicht? Und wenn nicht, muss ich da was tun oder ist alles im grünen Bereich.

Gibt es einen Befehl der mir in der PVE Shell ausgibt, ob Secure Boot aktiviert ist und ein Handeln erforderlich ist?

Danke für eure Hilfe. Die vielen Info überrollen mich gerade etwas

 

[boisbleu]

SecureBoot nutzt du eher nicht - das geben deine Zertifikate gar nicht her.

Auf der PVE Übersichtsseite steht welchen Boot Mode du nutzt, bei dir entweder Legacy BIOS oder EFI. Siehe diesen Screenshot:

J

Post in thread 'nicht vergessen: UEFI-Zertifikate Eurer EFI-Disk Instanzen 06.2026!'

May 5, 2026

Ich meinte die Einstellung für SecureBoot in dem BIOS meiner Fujitsu Kiste hier auf der der Proxmox Host läuft. Aber mit "Übersichtsseite" meinst Du ja vermutlich das


und wenn ja wäre meine Frage ja geklärt.

VG Jim

• jim_os

• 

 

[Ronny1978]

Auf der PVE Übersichtsseite steht welchen Boot Mode du nutzt, bei dir entweder Legacy BIOS oder EFI

EFI

Danke für deine Mühe.

 

[knut4linux]

Zu dieser Thematik habe ich auch noch etwas Senf. Dieses Thema ist wirklich verwirrend und ich trage hier mal meine Erkenntnis vor.

Was hat es mit den RegistryKeys auf sich:
Windows selbst kennt für sich nur 2 ligitime Wege, wie sich die Firmware ändert.
1. durch Windows selbst (Secure-Boot-Update-Task)
2. durch einen OEM, den Microsoft kennt und klassifiziert

Alles andere gilt aus Sicht von Windows als: "Keine Ahnung wer das macht", weshalb qm enroll-efi-keys <vmid> allein nicht ausreicht.

Die Aktualisierung der EFI-Disk über das WebGui -> "Enroll Update Certifactes" oder qm enroll-efi-keys <vmid> bewirkt lediglich eine Bereitstellung der aktuellen DB's und Key's.

Ich habe in einem Lab mehrer Wege durchgespielt, die Zertifikate und Signaturen zu aktualisieren. Von Step-by-Step (setzen der einzelnen Werte für AvailableUpdates (0x4000, 0x1000, 0x0800...) bis hin zum vollständig automatischen Durchlauf der einzelnen Update-Tasks. Die Möglichkeit ein OptIn zu übermitteln um Microsoft die Aktualsierung vornehmen zu lassen (CFR) kam für mich nicht in Frage.

Der einfachste und schnellste Weg für ein vollständigen Abschluss ist:

Zertifikate und Key's bereitstellen (optional):

qm enroll-efi-keys <vmid>

Optional deshalb, weil der Update-Prozess des Windows-Workflows das sowieso ausrollen sollte. Falls das nicht der Fall ist, gibt es Hinweise im Eventlog. In den meisten Fällen resultiert ein Fehler aus einen bestehenden Schreibschutz der UEFI-Disk oder Partition oder aktivierten Bitlocker.

Vollständigen durchlauf der Aktualisierung über Registry-Key:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Secureboot /v AvailableUpdates /t REG_DWORD /d 0x5944 /f

Update Task anstoßen (wer es sofort machen will) und danach neustarten:

Start-ScheduledTask -TaskName "\Microsoft\Windows\PI\Secure-Boot-Update"

Hinweis:
Wer Bitlocker aktiviert hat sollte es vor dem Update deaktivieren oder zumindest für jeden Reboot-Prozess den Schutz auszusetzen

manage-bde -protectors -disable C: -RebootCount 1

- Schutz wird genau für einen Neustart ausgesetzt


Hilfreiche Überprüfungen:

Überprüfen, mit welchem Zertifikat der Bootloader signiert wurde.

mountvol S: /s
Get-PfxCertificate -FilePath "S:\EFI\Microsoft\Boot\bootmgfw.efi" |
Format-List Issuer, Subject, NotBefore, NotAfter
mountvol S: /d

Bei mir vor dem Update:
Issuer : CN=Microsoft Windows Production PCA 2011, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
Subject : CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
NotBefore : 19.06.2025 20:11:43
NotAfter : 17.06.2026 20:11:43


Aktuellen Update-Status ermitteln:

Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

WindowsUEFICA2023Capable    : 1
UEFICA2023Status            : NotStarted
LastParsedBucketDataVersion : 12
BucketHash                  : e4e3c7d298a647e52978c16f60f893bcadfd7b36996bae3bbccdc93fbe407351
ConfidenceLevel             : Under Observation - More Data Needed
ConfidenceUpdateType        : 0
PSPath                      : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
PSParentPath                : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
PSChildName                 : Servicing
PSDrive                     : HKLM
PSProvider                  : Microsoft.PowerShell.Core\Registry

UEFICA2023Status: NotStarted = UpdateTask "Start-SchedluledTask..." nicht angestoßen, InProgross = selbserklärend


Hinweis:
Es ist sehr wahrscheinlich, dass der Prozess 2x ausgeführt werden muss bis das Update bzw. der "UEFICA2023Status: Updated" erfolgreich durchgelaufen ist, das hängt mit der KEK- und DB-Hierarchie zusammen. Für Geräte mit aktivierten Bitlocker oben genannten Hinweis beachten.


Überprüfungen / Verifizierungen:
Eine erfolgreiche Aktualisierung wird auch im Ereignisprotokoll siganlisiert (Event 1808, Quelle TPM-WMI).

Dieses Gerät hat die Zertifizierungsstelle/Schlüssel für den sicheren Start aktualisiert. Diese Gerätesignaturinformationen sind hier enthalten....

Abfrage über den Registrierungsschlüssel:

Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing"

WindowsUEFICA2023Capable    : 2
UEFICA2023Status            : Updated
BucketHash                  : e4e3c7d298a647e52978c16f60f893bcadfd7b36996bae3bbccdc93fbe407351
ConfidenceLevel             : Under Observation - More Data Needed
LastParsedBucketDataVersion : 12
ConfidenceUpdateType        : 0
PSPath                      : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing
PSParentPath                : Microsoft.PowerShell.Core\Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot
PSChildName                 : Servicing
PSDrive                     : HKLM
PSProvider                  : Microsoft.PowerShell.Core\Registry

Sollte WindowsUEFICA2023Capable = 2 und UEFICA2023Status = NotStarted sein, dann wurder der Prozess noch nicht vollständig abgeschlossen und müsste wie erwähnt noch mal angestoßen werden.


Bootloader überprüfen (wer noch mal ne Bestätigung braucht)
Issuer : CN=Windows UEFI CA 2023, O=Microsoft Corporation, C=US
Subject : CN=Microsoft Windows, O=Microsoft Corporation, L=Redmond, S=Washington, C=US
NotBefore : 15.05.2025 21:23:59
NotAfter : 15.05.2026 21:23:59


Weiterführende Information:
Registry key updates for Secure Boot
Secure Boot Update Events
Fachartikel - Administrator Magazin