HomeLab

Global HomeLab News: Обновление Secure Boot сертификатов в Windows VM на Proxmox VE 9

21 мая 2026, 12:02
Global HomeLab News: Обновление Secure Boot сертификатов в Windows VM на Proxmox VE 9

В сообществе Proxmox обсуждают практический кейс после перехода на PVE 9: для Windows VM появился штатный сценарий обновления UEFI/Secure Boot сертификатов через интерфейс гипервизора. Это снижает риск ручных ошибок перед ротацией сертификатов Secure Boot и ускоряет обслуживание парка виртуалок.

Что произошло

После обновления узла Proxmox VE 8 -> 9 у администраторов в логах загрузки Windows-гостей появились предупреждения о необходимости обновить UEFI DBX/сертификаты Secure Boot. В интерфейсе VM (Hardware) доступна кнопка Enroll Updated Certificates, которая запускает процедуру регистрации обновленных сертификатов без ручной работы с EFI-переменными.

Технические детали

  • Затронуты VM с UEFI (OVMF) и включенным Secure Boot.
  • Операция выполняется на уровне виртуального железа VM через GUI Proxmox.
  • Практический эффект: сокращается количество ручных шагов, которые раньше выполняли внутри гостевой ОС или через сложные обходные сценарии.
  • По отзывам из треда, одной операции в Proxmox может быть недостаточно, если гостевая Windows не применяет обновление из-за собственного trust/eligibility-состояния (например, проблемы с сетевой связностью и обновлениями внутри VM).

Риски и ограничения

  • Кнопка в Proxmox не отменяет требования Windows к установке и применению нужных апдейтов внутри гостя.
  • На старых кластерах (например, ветка 7.x) этого механизма в GUI может не быть.
  • Если VM изолирована от интернета/WSUS, переход на новые сертификаты может не завершиться корректно даже после операции в гипервизоре.
  • Для production-кластеров критично валидировать процедуру на тестовой VM до массового применения.

Практика для HomeLab (чеклист)

  1. Проверить предпосылки по VM
  2. BIOS: OVMF (UEFI)
  3. Secure Boot: включен

  4. OS: поддерживаемая Windows с актуальными cumulative updates

  5. Сделать точку отката

  6. Создать snapshot VM перед изменением.

  7. Для критичных сервисов запланировать окно обслуживания.

  8. Выполнить обновление сертификатов в Proxmox

  9. VM -> Hardware -> Enroll Updated Certificates.

  10. Перезагрузить VM и проверить отсутствие предупреждений по Secure Boot в консоли/журналах загрузки.

  11. Проверить состояние внутри Windows

  12. Убедиться, что проходят Windows Update/WSUS.

  13. Проверить Event Viewer на ошибки Secure Boot/Code Integrity.

  14. Критерии успешности

  15. VM стабильно загружается с включенным Secure Boot.
  16. Нет повторяющихся предупреждений о просроченных/старых UEFI сертификатах.
  17. После перезагрузки сервисы в VM стартуют без деградации.

Источник:
- https://www.reddit.com/r/Proxmox/comments/1tirbus/hasslefree_windows_secure_boot_certificate_update/
- https://www.reddit.com/r/Proxmox/new.json?limit=20

Ко всем постам