Nur um sicher zu gehen, so sieht meine HA VM aus:
Muss ich hier noch das Zertifikat aktualisieren wie oben beschrieben oder ist hier nichts mehr notwendig?
Es ist noch früh am Morgen, leg Dich wieder hin. Keine Keys.
1 „Gefällt mir“
Moin zusammen
Zumindest hier sieht es heute noch nicht “rosarot” sondern eher trübe und nass aus 
und irgendwelche neuen Erkenntnisse scheint es ja auch nicht zu geben. 
Das Problem aus meiner Sicht ist immer noch das niemand so wirklich erklären kann warum es bei @Bacardi diesen ms-cert=2023k Eintrag bei EFI-Disk gibt und ob und was der zu bedeuten hat. Soweit ich das sehe ist @Bacardi hier wohl bisher auch der einzige User bei dem es so einen Eintrag gibt.
Die Frage ist also ob so ein Eintrag wie bei meiner Windows 11 VM,
VM 104:
efidisk0: local-lvm:vm-104-disk-0,efitype=4m,pre-enrolled-keys=1,size=4M
bei der ja nachweislich das neue Zertifikat vorhanden ist
das pre-enrolled-keys=1 irgendwie dafür steht das dort das neue Zertifikat vorhanden ist, oder ob es dafür - so wie bei @Bacardi - auch noch zusätzlich den Eintrag ms-cert=2023k geben muss?
Was mich selber betrifft tendiere ich im Moment dazu - sofern es in den nächsten Tagen nicht irgendwelche konkreten und neuen Infos zu dem Thema gibt - einfach den Juni auf mich zukommen zu lassen. Bei meinen 8 VMs gibt es halt nur drei die überhaupt eine EFI-Disk nutzen und nachdem ich jetzt bei der Win 11 VM das Zertifikat erneuert habe, gibt es jetzt nur noch meine HA VM und HA Test VM bei der ich bisher nicht wirklich weiß was dabei jetzt Sache ist. Sollte es dann im schlimmsten Fall ab Juni irgendein Zertifikatsproblem mit den beiden HA VMs geben, dann würde ich eben einfach eine neue HA VM erstellen und dann eben das HA Backup einspielen. Ich bin aber recht optimistisch das es ab Juni auch mit meinem HA VMs kein Zertifikatsproblem geben wird.
Aber das ist eben jetzt nur meine Vorgehensweise und was andere User dann machen müssen sie selbstverständlich selber wissen und entscheiden.
Ach ja, ich selber werde die Diskussionen zu dem Thema im Proxmox Forum natürlich weiterhin verfolgen.
Edit: Was ich noch vergessen hatte und nicht mehr weiß ob das hier im Beitrag schon erwähnt wurde: Man sollte auch noch schauen ob es von dem Hersteller der Kiste auf der Proxmox läuft ggf. eine neue BIOS-Version gibt und wenn ja diese wohl auch installieren, da es eben sein kann das der Hersteller das neue 2023 Zertifikat in einer neuen BIOS-Version mit eingefügt hat. Bei meinen beiden Refurbished Fujitsu Kisten ist das bei den letzten dafür verfügbaren BIOS-Versionen aus 2024 und 2025 leider nicht der Fall, aber bei anderen Kisten kann das ja auch durchaus anders sein.
Hier ein Beispiel wie es bei einer meiner Refurbished Fujitsu Kisten mit der BIOS-Version vom Dez. 2025 aussieht:
und hier ein Beispiel eines User aus dem Proxmox Forum wie es bei seiner Kiste nach einem BIOS Update dann aussieht.
VG Jim
Bei mir hat die Cmd Version funktioniert und die HA VM auf Microsoft 2023 gehoben.
Fein und wie genau hast Du das jetzt festgestellt? Hat sich jetzt irgendetwas bei dem EFI-Disk Eintrag verändert, oder woher weißt Du das jetzt?
VG Jim
Hm - Mist den ms-cert=2023k Eintrag bei EFI-Disk wollte ich jetzt eigentlich nicht sehen. Ne ist nur Spaß und ich frage mich gerade warum das bei meiner HA Test VM dann nicht funktioniert hat.
Denn bei der habe ich ja auch das Update per qm enroll-efi-keys 112 probiert und das Ergebnis davon war ja (nur):
Mal abgesehen von dem Maschinentyp (i440fx vs. q35) sehe ich da keinen, möglicherweise relevanten Unterschied zwischen unseren HA VMs.
Läuft Deine Proxmox Installation auf dem Host mit Legacy BIOS oder mit EFI (BIOS)?
Das wäre jedenfalls der einzige möglich Grund der mir dazu im Moment noch einfallen würde.
VG Jim
Tja dann bin ich wieder an einem Punkt an dem ich mir das Verhalten nicht wirklich erklären kann. Gut das mit dem aktuellen 7er Kernel könnte ggf. auch noch eine Rolle spielen, aber nur wegen der Zertifikats-Geschichte will ich jetzt das Kernel-Update eigentlich (noch) nicht installieren. Hm … da muss ich jetzt erst einmal ein wenig “in mich gehen”. Vielleicht kommen hier ja auch noch Meldungen von anderen Usern zu dem Thema.
Aber gut zu wissen ist jetzt ja schon mal das auch bei Dir und nicht nur bei @Bacardi, es nach dem qm enroll-efi-keys <VMID> Update dann diesen ms-cert=2023k Eintrag bei EFI-Disk gibt.
Edit: Gerade gab es auch noch eine Rückmeldung von einer Proxmox Mitarbeiterin im Proxmox Forum auf ein Posting von mir. Diese lautet:
Hallo @jim_os,
wenn bisher keine Secure-Boot-Keys auf der EFI-Disk waren (kein pre-enrolled-keys=1), brauchst Du auch keine neuen ausrollen.
Wobei das jetzt auch noch nicht wirklich alle Punkte klärt, warum ich dazu dann dort noch ein Posting erstellt habe
und jetzt mal abwarte was darauf für eine Antwort kommt.
VG Jim
Ich hätte da noch etwas für Dich Jim.
- Ich ging auf die VM Console wo ich die MS Schlüssel installiert habe
- installierte
apt install efitools - Und dann das Kommando
efi-readvar | egrep "Microsoft|2023"
Microsoft Corporation KEK 2K CA 2023
Microsoft UEFI CA 2023
Windows UEFI CA 2023
Wenn Du die siehst, sind die Schlüsselupdates geglückt.
Wieso auch immer der Proxmox Marker ms-cert=2023k bei Dir nicht gesetzt wird.
PS: Bevor Du das Wort “hergezaubert” verwendest … zwischen den oberen Schritten lag etwas Probieren, Lesen, KI chatten … so entzaubernd kann die Wahrheit sein 
Ich nutze solche Fälle wie diesen um mich stückchenweise an Linux heranzuarbeiten. Ich komme aus der Windows/Android Welt.
Jo das mit den efitools hatte ich mir auch schon überlegt und das auch bereits gestern im Proxmox Forum mal kurz angesprochen:
Aber ohne echten/zwingenden Grund versuche ich es zu vermeiden irgendetwas auf den Proxmox Host manuell zu installieren. Früher (vor Jahren) habe ich das durchaus auch mal “einfach so” gemacht, aber nachdem ich mir damit mal irgendwann eine Linux Mint Kiste abgeschossen habe bin ich da etwas vorsichtiger geworden.
Danke für die Info und ich warte jetzt erst einmal ab was im Proxmox Forum noch an Rückmeldung auf mein letztes Posting dort kommt.
Aktuell vermute ich das es ggf. auch etwas mit der Kiste und deren BIOS aus 2024 zu tun haben könnte, auf dem mein Proxmox Host hier läuft.
BTW: Nutzt Du unter Proxmox schon den/einen 7er Kernel?
VG Jim
Nicht der Host sondern in die VM habe ich die efitools installiert. Ich hatte auch kurz gezögert aber dann sagte ich mir, maximal die VM hat Schaden
Nein ich warte noch etwas ab. Irgendemand hier im Forum hatte eine Warnung weitergereicht, wer war das nur 
root@pve:~# uname -a
Linux pve 6.17.13-3-pve #1 SMP PREEMPT_DYNAMIC PMX 6.17.13-3 (2026-03-31T21:50Z) x86_64 GNU/Linux
Keine Ahnung. Ich glaube das war der Typ der hier auch diesen Beitrag und die jetzt daraus resultierende “Verwirrung/Irritationen” angezettelt hat. 
Gut dann spielt die Kernel-Version also bzgl. ms-cert=2023k ja/nein auch keine Rolle. Weil @Thomassh, bei dem seine HA VM ja jetzt das ms-cert=2023k bei EFI-Disk anzeigt, nutzt ja bereits den 7er Kernel.
Edit: Es gab jetzt auch eine Antwort von der Proxmox MA auf mein Posting:
@jim_os ob die neuen Zertifikate da sind oder nicht, wird im Moment nicht automatisch detektiert. Du kannst einfach trotzdem den enroll-Knopf benutzen, dann wird beim nächsten Anwenden der Config-Änderungen geschaut. Wenn alle Zertifikate da sind, wird einfach der ms-cert=2023k Marker gesetzt. Sonst werden die fehlenden Zertifikate eingespielt und der ms-cert=2023k Marker wird gesetzt.
Ich werde genau das jetzt mal bei meiner Windows 11 VM auch noch machen und dann mal schauen was mir dann bei der Windows 11 VM unter EFI-Disk angezeigt wird.
Edit 2: Ich habe erst noch ein manuelles Backup von der Windows 11 VM angestoßen und witzigerweise kommt da jetzt auch noch ein Hinweis bzgl. EFI disk without ‘ms-cert=2023k’ option.
INFO: Starting Backup of VM 104 (qemu)
INFO: Backup started at 2026-05-06 15:12:04
INFO: status = stopped
INFO: backup mode: stop
INFO: ionice priority: 7
INFO: VM Name: vmwin11
INFO: include disk 'ide0' 'local-lvm:vm-104-disk-1' 100G
INFO: include disk 'efidisk0' 'local-lvm:vm-104-disk-0' 4M
INFO: include disk 'tpmstate0' 'local-lvm:vm-104-disk-2' 4M
INFO: skip unused drive 'FBWDUSB:104/vm-104-disk-0.qcow2' (not included into backup)
INFO: creating vzdump archive '/mnt/pve/FBWDUSB/dump/vzdump-qemu-104-2026_05_06-15_12_04.vma.zst'
INFO: starting kvm to execute backup task
EFI disk without 'ms-cert=2023k' option, suggesting that not all UEFI 2023
certificates from Microsoft are enrolled yet. The UEFI 2011 certificates expire
in June 2026! The new certificates are required for secure boot update for Windows
and common Linux distributions. Use 'Disk Action > Enroll Updated Certificates'
in the UI or, while the VM is shut down, run 'qm enroll-efi-keys 104' to enroll
the new certificates.
VG Jim
Also, ich für meinen Teil verstehe hier jetzt überhaupt nichts mehr. 
Ich erstellt gleich noch ein Posting als Zusammenfassung (für mich) und markiere dies dann auch (für mich) als Lösung.
Edit und Update: So hier dann meine Zusammenfassung, die u.a. auch auf den Infos von der Proxmox Mitarbeiterin basiert.
- M.M.n. ist es grundsätzlich besser sich jetzt mit dem Zertifikat-Problem zu befassen, statt bis zum Juni zu warten was dann ggf. passiert, oder ggf. auch schon passiert ist.
- Ganz unabhängig von Proxmox sollte man auch schauen ob es von dem Hersteller der Kiste auf dem Proxmox läuft ggf. ein (Motherboard-)BIOS-Update gibt, das dann ggf. auch das/die neuen Zertifikate enthält.
- Das Zertifikats-Problem kann nur bei den Proxmox VMs auftauchen bei denen ein OVMF (UEFI) BIOS
und somit eine EFI-Disk
genutzt wird. Zusätzlich muss es dann bei dem EFI-Disk-Eintrag auch noch den
pre-enrolled-keys=1 Eintrag geben. Also etwas in der Art:
Wenn diese drei Punkte gegeben sind sollte sich ein Zertifikats-Update durchführen lassen. Dieses kann dann perqm enroll-efi-keys <VMID>erfolgen, oder wurde z.B. bereits bei einer Windows VM durch die Windows Updates erledigt. - Bei VMs die zwar OVMF (UEFI) BIOS + EFI-Disk nutzen, aber bei denen es dann bei EFI-Disk keinen
pre-enrolled-keys=1Eintrag gibt, braucht lt. Proxmox Mitarbeiterin nichts gemacht zu werden. Aussage der Proxmox Mitarbeiterin dazu:
“wenn bisher keine Secure-Boot-Keys auf der EFI-Disk waren (kein pre-enrolled-keys=1), brauchst Du auch keine neuen ausrollen.” - Sollte man bei einer entsprechenden VM ein Update gemacht haben und es bei dem EFI-Disk-Eintrag trotzdem nicht den Eintrag ms-cert=2023k geben, wie es bei meiner Windows 11 VM der Fall war, dann kann man das bei der VM durch das ausführen von
Disk Action ---> Enroll Updated Certificatesändern.
Danach sollte es dann so aussehen. Hier das Beispiel meiner Windows 11 VM, nachdem dann das Enroll Updated Certificates ausgeführt wurde.
Hier noch die Erklärung dazu von der Proxmox Mitarbeiterin:
“ob die neuen Zertifikate da sind oder nicht, wird im Moment nicht automatisch detektiert. Du kannst einfach trotzdem den enroll-Knopf benutzen, dann wird beim nächsten Anwenden der Config-Änderungen geschaut. Wenn alle Zertifikate da sind, wird einfach der ms-cert=2023k Marker gesetzt. Sonst werden die fehlenden Zertifikate eingespielt und der ms-cert=2023k Marker wird gesetzt.”
Soweit jetzt meine Zusammenfassung (für mich) zu dem Thema. Ob die so jetzt kompl. korrekt ist und/oder ggf. auch noch Punkte ergänzt oder verändert werden könnten oder müssten, kann ich jetzt nicht sagen. Eine Garantie darauf das alles zu 100 % korrekt ist kann ich jedenfalls nicht geben. Ich empfehle auch grundsätzlich den entsprechenden Beitrag im Proxmox Forum weiterhin zu verfolgen.
Da ich hier bei mir jetzt alle ggf. betroffenen VMs, auch gem. den Infos der Proxmox Mitarbeiterin, entsprechend mit einem Update versorgt habe, hat sich das Thema für mich jetzt b.a.W. und hoffentlich auch auf Dauer erledigt. Daher makiere ich dieses Posting jetzt (mich mich) auch mal als Lösung zu meinem Beitrag.
VG Jim
7 „Gefällt mir“
Hi Jim,
vielen Dank für deine Zusammenfassung.
Für mich heißt das, alles ist schön und ich brauche nichts zu machen. 
Bei meiner HA VM keinen pre-enrolled-keys=1 Eintrag 
und
bei meiner Nextcloud VM SeaBios.
Naja, Angst essen Seele, also Ende Mai mal nen HA FullBackup machen. Mache sonst nur Backups von der VM in Proxmox. 
Beste Grüße
Jörn
Was bitte soll denn mit der HA-VM passieren?
HA-OS nutzt nicht mal Secure Boot und wenn man die VM über das Helfer-Script erzeugt hat gibt es auch den pre-enrolled-keys - Eintrag nicht.
Ich sehe das ganz gelassen…
Fein dann kannst Du das Thema für Dich ja auch wohl abhaken.
Das ist ja auch der Normafall, weil in den relevanten Install.-Anleitungen von HA ja auch darauf hingewiesen wird das man SecureBoot im BIOS deaktiveren soll bzw. muss und somit das Zertikat eigentlich keine Rolle spielen dürfte.
Wobei mir immer noch nicht so ganz klar ist warum bei @Thomassh, dessen Proxmox Host mit Legacy BIOS Einstellung läuft und er ja eigentlich auch das SecureBoot im BIOS deaktiviert haben müsste, bei seiner HA VM dann trotzdem bei der EFI-Disk der pre-enrolled-keys=1 Eintrag auftaucht und er dort das Zertifikats-Update machen konnte. 
Aber ok, a) weiß ich nicht wie @Thomassh da seine HA VM installiert hat und b) will und muss ich auch nicht alles verstehen.
Für mich pers. war halt wichtig das ich mich jetzt mit dem Theme beschäftige und beschäftigt habe, statt im Juni ggf. dumm aus der Wäsche zu schauen. Genau das wäre mir dann wohl vermutlich passiert, weil ich meine Windows 11 VM hier vielleicht nur ein oder zweimal im Jahr nutzt und ich bei der auch schon seit mehr als 6 Monaten keine Updates mehr installiert hatte. Ein Backup der Win 11 VM hätte mir dann wohl auch nicht geholfen.
Aber wie ich hier ja schon erwähnt hatte gab es für mich einen Grund sich jetzt mit dem Thema zu beschäftigen und wie andere User das dann handhaben ist wie üblich ihre Entscheidung.
Ich mache jedenfalls jetzt für heute Feierabend und werde dann ab morgen mal schauen was uns das HA Core Update 2026.5 dann so an Problemen und Überraschungen beschert. Ach was wäre das Leben ohne HA doch “langweilig”.
VG Jim
1 „Gefällt mir“
Außer bei Windows ist das unter Linux im Prinzip egal. Einfach in das BIOS der VM booten und dort Secure Boot deaktivieren, falls es aktiviert ist. VM neu starten, fertig. Linux braucht Secure Boot nicht, und Home Assistant unterstützt es meines Wissens nach ohnehin gar nicht.
Moin
Das ist korrekt. HA unterstützt von Haus aus kein Secure Boot. Was ja auch anhand der HA Installations-Anleitungen bekannt sein dürfte. Auch gibt es zu dem Thema ja ein Feature Request.
Auch das ist korrekt, wobei es auch wieder recht aktuelle Diskussionen gibt es auch bei Linux Distributionen zu nutzen. Ein Beispiel in der eine dieser Diskussionen erwähnt wird:
Was dann wo und wann am Ende passiert, oder auch nicht, steht halt in den Sternen.
So gut wie alle Linux Distros unterstützen Secure Boot schon lange. Stellvertretend hier mal die Infos aus der Ubuntu Doku und dem Debian Wiki dazu:
Ob ein User bei sich dann Secure Boot nutzt oder nicht ist eine ganz andere Frage und mir ging es bei diesem Beitrag ja auch darum wie man bei Proxmox die im Juni 2026 ablaufenden UEFI Secure Boot-Zertifikate aktualisieren kann und nicht um das Thema Secure Boot Ja/Nein.
Das es hier dann im Laufe der Diskussionen ggf. ein wenig “Drunter & Drüber” gegangen ist ist halt so und darum habe ich dann ja auch noch versucht bei der Zusammenfassung zu beschreiben bei welchen Proxmox VMs ein Update der Zertifikate wohl notwendig ist und wie man es dann machen sollte/könnte.
Edit: Kleiner Joke am Rande. Mir ist gerade eingefallen das ich hier noch ein HP 350 G1 Notebook habe, auf dem ein Windows 11 im Dual Boot mit Linux läuft. Das Windows hat seit ca. 1 Jahr keine Updates mehr bekommen und ich sollte mich da jetzt vielleicht auch mal um das Thema UEFI Secure Boot-Zertifikat kümmern.
VG Jim