Secure-Boot-Zertifikate Proxmox Umfeld

F

fschaller

New Member
Proxmox Subscriber
Apr 2, 2025
13
2
3
Hallo zusammen

Wir setzen Proxmox 9.1.x im Zusammenhang mit nicht mehr ganz aktuellen Servern ein (Dell PowerEdge R740). Die Firmware- und BIOS-Versionen sind aktuell (vom November 2025).

Der PVE-Host läuft mit Secure-Boot:

Code: 
[ -d /sys/firmware/efi ] && echo "UEFI" || echo "Legacy BIOS"
UEFI
mokutil --sb-state
SecureBoot enabled

Ich bin mir jetzt nicht sicher, ob mich die Thematik, welche insbesondere bei Microsoft Windows Server für Mitte 2026 genannt wird, bez. den auslaufenden Zertifikaten, betrifft und meine Proxmox VE-Server dann ev. nicht mehr starten. Vielen Dank für eine kurze Rückmeldung Eurerseits dazu.

Beste Grüsse
 
MS schreibt dazu: https://support.microsoft.com/de-de...gsstelle-7ff40d33-95dc-4c3c-8725-a9b95457578e

Diese älteren Zertifikate laufen im Juni 2026 ab. Geräte, die die neueren 2023-Zertifikate nicht erhalten haben, werden weiterhin normal gestartet und funktionieren normal, und Windows-Standardupdates werden weiterhin installiert. Diese Geräte können jedoch keinen neuen Sicherheitsschutz mehr für den frühen Startprozess erhalten, einschließlich Updates für Windows-Start-Manager, Datenbanken für den sicheren Start, Sperrlisten oder Risikominderungen für neu entdeckte Sicherheitsrisiken auf Startebene.

Im Laufe der Zeit schränkt dies den Schutz des Geräts vor neuen Bedrohungen ein und kann sich auf Szenarien auswirken, die auf der Vertrauensstellung für den sicheren Start basieren, z. B. BitLocker-Härtung oder Bootloader von Drittanbietern.

M.E. hat man bei PVE kein Problem bei VMs wg. der EFI-Disk.
 
Windows-VMs bekommen die neuen Zertifikate automatisch (wenn's denn klappt) spätestens zum nächsten Patch Day (also am 11.03.).

Manuell erleidgt man das nach dieser Anleitung (ziemlich am Ende):
https://techcommunity.microsoft.com...g/updating-microsoft-secure-boot-keys/4055324

Für die VMs in PVE erzwingt man die neuen Keys mit: qm enroll-efi-keys VM-ID

Beim PVE selbst sollte das mit dem Update auf Version 9.1 (?) auch schon aktiv sein. Kommt aber auch auf die BIOS-Version der Hardware an. Meist kann man in den SecureBoot Einstellungen die Zertifikate einsehen - ansonsten ist dmesg | grep cert sehr hilfreich. ;-)
 
Laut heise.de gilt das nur für Windows 11 Desktop Systeme, Windows Server Systeme (und IOT?) erhalten diese nicht automatisch via Windows Updates.
 
Ja danke für den Hinweis, das hab ich in der Eile überlesen.

„Meine“ Server hab ich alle manuell aktualisiert.
 
Last edited:
You must log in or register to reply here.
Top Bottom
Back