Hinweis: Dieser Beitrag enthält Affiliate-Links (mit * gekennzeichnet). Kaufst du über einen dieser Links, erhalte ich eine kleine Provision — für dich ändert sich der Preis nicht.
Im Proxmox-Forum und in den Task-Logs taucht sie immer öfter auf: eine Warnung vor ablaufenden UEFI-Zertifikaten. Der Hintergrund ist ernst — und der Stichtag ist JETZT: Microsofts Secure-Boot-Zertifikate aus dem Jahr 2011 laufen im Juni 2026 ab. Genau in diesem Monat.
WAS DA TICKT: Secure Boot hängt an 15 Jahre alten Schlüsseln
Secure Boot prüft beim Start, ob Bootloader und Kernel vertrauenswürdig signiert sind. Die Vertrauenskette hängt an Microsoft-Zertifikaten von 2011 — und die erreichen jetzt ihr Ablaufdatum. Microsoft hat längst Nachfolger-Zertifikate von 2023 verteilt. Das Problem: In virtuellen Maschinen stecken die Zertifikate in der EFI-Disk der VM — und die wurde bei vielen VMs vor Jahren angelegt und nie angefasst.
DIE WARNUNG: Das bedeutet „ms-cert=2023k“ wirklich
Proxmox VE prüft das inzwischen aktiv und meldet bei betroffenen VMs sinngemäß: EFI disk without ‚ms-cert=2023‘ option — die UEFI-2011-Zertifikate laufen im Juni 2026 ab. Wichtig zur Beruhigung: Deine VMs booten auch danach weiter. Aber sie bekommen keine neuen Boot-Manager-Sicherheitsupdates mehr und können bei frisch signierten Bootloadern — etwa neuen Linux-shim-Versionen oder Windows-Updates — in Kompatibilitätsprobleme laufen.
SO ENTSCHÄRFST DU: Zwei Wege, beide schnell
Proxmox liefert die Lösung gleich mit. Weg 1 (GUI): VM herunterfahren, dann auf der EFI-Disk „Disk Action → Enroll Updated Certificates“ ausführen. Weg 2 (CLI): bei gestoppter VM ein einziger Befehl:
qm enroll-efi-keys <VMID>Damit landen die 2023er-Zertifikate in der EFI-Disk. Achtung bei Windows-VMs mit BitLocker: Dort sollte vorher das kumulative Update vom März 2026 installiert sein, das die Zertifikatsübernahme sauber unterstützt — sonst riskierst du eine BitLocker-Wiederherstellungsabfrage. Wer tiefer in Proxmox-Administration einsteigen will, findet im Proxmox VE 9 Praxisbuch* auch das Thema VM-Konfiguration ausführlich erklärt.
EXTRA-TIPP: Jetzt einmal das ganze Homelab durchgehen
Nimm die Warnung als Anlass für einen Mini-Audit: Welche VMs nutzen OVMF/UEFI? Welche haben Secure Boot aktiv? Gerade auf beliebten Mini-PC-Hosts wie dem Minisforum UM790 Pro* laufen oft Dutzende VMs, die über Jahre mitgeschleppt wurden. Fünf Minuten Inventur ersparen dir im Juli die Fehlersuche, warum ein frisch geupdatetes Ubuntu plötzlich nicht mehr startet.
FAZIT: Kein Drama — aber ein Pflichttermin
Das ist keine Panik-Lücke, sondern Wartung mit Deadline. Ein Befehl pro VM, fertig. Wer es diesen Monat erledigt, hat Ruhe für die nächsten zehn Jahre.
Häufige Fragen
Booten meine VMs nach Juni 2026 noch, wenn ich nichts tue?
Wie erkenne ich, ob meine VM betroffen ist?
Wie spiele ich die neuen Zertifikate konkret ein?
Was ist mit Windows-VMs und BitLocker?
Quellen: Virtualization Howto, Proxmox-Forum, Thomas-Krenn-Wiki