23.06.2026 15:30
Слышал краем уха новости о том, что протухают какие-то сертификаты Microsoft, которые используются в Secure Boot в UEFI.
Слышал краем уха новости о том, что протухают какие-то сертификаты Microsoft, которые используются в Secure Boot в UEFI. Так как у меня нет систем, где прям обязательно должна быть включена безопасная загрузка, то пропускал мимо ушей. Даже если где-то она и включена, то смогу отключить на время для решения проблем, если они возникнут.
На днях на практике увидел, о чём тут речь. Одна виртуальная машина с Windows при запуске в Proxmox выдала предупреждение:
The UEFI 2011 certificates expire in June 2026! The new certificates are required
for secure boot update for Windows and common Linux distributions.
В июне протухают старые сертификаты. Благо, проблема эта небольшая и легко решается. Конкретно в Proxmox достаточно выбрать EFI диск, потом Disk Action ⇨ Enroll Updated Certificates. Ну и всё. Сертификат автоматически обновится. Ещё проще сделать это через консоль:
# qm enroll-efi-keys VM_ID
Если у вас по какой-то причине нет возможности обновить сертификат, то временно решить проблему загрузки такой системы можно, отключив Secure Boot.
Отдельное внимание этому вопросу стоит уделить, если вы используете шифрование через BitLocker. Насколько я понял, протухшие сертификаты он будет воспринимать, как компрометацию системы, поэтому для доступа к зашифрованным файлам потребуется ключ восстановления. Для некоторых это может стать неприятным сюрпризом, особенно если про включённое шифрование они не в курсе. Начиная с какой-то версии Windows 11, при наличие TPM и SecureBoot, автоматически включается BitLocker для всех дисков. Помню, как сам с этим столкнулся на ноуте и отключил.
Проверить состояние шифрования можно командой в powershell:
> Get-BitLockerVolume
Будьте аккуратны с этой темой и заранее всё проверьте.
#windows
На днях на практике увидел, о чём тут речь. Одна виртуальная машина с Windows при запуске в Proxmox выдала предупреждение:
The UEFI 2011 certificates expire in June 2026! The new certificates are required
for secure boot update for Windows and common Linux distributions.
В июне протухают старые сертификаты. Благо, проблема эта небольшая и легко решается. Конкретно в Proxmox достаточно выбрать EFI диск, потом Disk Action ⇨ Enroll Updated Certificates. Ну и всё. Сертификат автоматически обновится. Ещё проще сделать это через консоль:
# qm enroll-efi-keys VM_ID
Если у вас по какой-то причине нет возможности обновить сертификат, то временно решить проблему загрузки такой системы можно, отключив Secure Boot.
Отдельное внимание этому вопросу стоит уделить, если вы используете шифрование через BitLocker. Насколько я понял, протухшие сертификаты он будет воспринимать, как компрометацию системы, поэтому для доступа к зашифрованным файлам потребуется ключ восстановления. Для некоторых это может стать неприятным сюрпризом, особенно если про включённое шифрование они не в курсе. Начиная с какой-то версии Windows 11, при наличие TPM и SecureBoot, автоматически включается BitLocker для всех дисков. Помню, как сам с этим столкнулся на ноуте и отключил.
Проверить состояние шифрования можно командой в powershell:
> Get-BitLockerVolume
Будьте аккуратны с этой темой и заранее всё проверьте.
#windows