Changes for page UEFI Secure Boot

Last modified by Sabrina V. on 2026/02/02 10:18

From 1.1 to 1.2

From version 1.2

edited by Sabrina V.
on 2026/02/02 10:11

Change comment: There is no comment for this version

To version 2.1

edited by Sabrina V.
on 2026/02/02 10:18

Change comment: There is no comment for this version

Raw
Rendered

Summary

Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

@@ -26,18 +26,18 @@
  This architecture ensures that only verified and signed components are executed during the entire boot process.
--= Vorbereitung der Bootdateien =
++= Preparation of the boot files =
--Für den PXE-Boot unter Secure Boot benötigen Sie folgende Dateien, die von der jeweiligen Distribution bereitgestellt werden:
++For PXE booting under Secure Boot, you need the following files, which are provided by the respective distribution:
--* ##bootx64.efi## – Shim-Bootloader (Microsoft-signiert, aus dem Paket shim-signed)
--* ##grubx64.efi## – GRUB EFI-Bootloader (Distribution-signiert)
--* ##vmlinuz## – Linux-Kernel (signiert)
--* ##initrd.img## – Initial-RAM-Disk (signiert)
++* ##bootx64.efi## – Shim bootloader (Microsoft signed, from the shim-signed package)
++* ##grubx64.efi## – GRUB EFI bootloader (distribution signed)
++* ##vmlinuz## – Linux kernel (signed)
++* ##initrd.img## – Initial RAM disk (signed)
--Diese Dateien werden in der Regel im Verzeichnis ##/tftpboot/## oder einem Unterordner wie ##/tftpboot/uefi/## abgelegt und über DHCP/TFTP verteilt.
++These files are usually stored in the ##/tftpboot/## directory or a subfolder such as ##/tftpboot/uefi/## and deployed via DHCP/TFTP.
--Beispielhafte Struktur
++Example structure
  {{code language="bash"}}
  /tftpboot/
@@ -50,15 +50,15 @@
  {{/code}}
  {{aagon.warnungsbox}}
--Beachten Sie bei mehreren Distributionen, dass Shim und GRUB immer als passendes Paar verwendet werden müssen. Jede Distribution bringt ihr eigenes Zertifikatsset mit. Eine Mischung unterschiedlicher Versionen führt daher zu Signaturfehlern und Bootabbrüchen.
++If you have multiple distributions, please note that Shim and GRUB must always be used as a matching pair. Each distribution comes with its own set of certificates. Mixing different versions will therefore lead to signature errors and boot failures.
  {{/aagon.warnungsbox}}
--= Anlage der GRUB-Konfiguration =
++= GRUB configuration file =
--Im Gegensatz zum Legacy-Boot verwendet Secure Boot über UEFI eine GRUB-Konfiguration anstelle der PXELINUX-Dateien.
--Diese Konfiguration liegt üblicherweise in einer Datei namens ##grub.cfg##, die von ##grubx64.efi## geladen wird.
++Unlike legacy boot, UEFI Secure Boot uses a GRUB configuration instead of PXELINUX files.
++This configuration is usually stored in a file called ##grub.cfg##, which is loaded by ##grubx64.efi##.
--Beispielhafte Struktur des GRUB-Konfigurationsverzeichnisses
++Example structure of the GRUB configuration directory
  {{code language="bash"}}
  /tftpboot/
@@ -66,21 +66,25 @@
  {{/code}}
  {{aagon.infobox}}
--Anmerkung: Die ##grub.cfg## Datei wird von manchen GRUB-Implementierungen im folgenden Ort erwartet ##tftpboot/grub/grub.cfg##
++Note: Some GRUB implementations expect the ##grub.cfg## file to be located in the following location: ##tftpboot/grub/grub.cfg##
  {{/aagon.infobox}}
--**Wichtige GRUB-Parameter:**
--* **set timeout: **Legt den Timeout in Sekunden fest, bevor der Standard-Eintrag gestartet wird
--* **menuentry: **Definiert einen Boot-Eintrag im Menü
--* **linuxefi: **Lädt den Kernel (EFI-spezifischer Befehl)
--* **initrdefi**: Lädt die Initramfs (EFI-spezifischer Befehl)
--* **set root:** Definiert das Root-Dateisystem oder den TFTP-Pfad
--= Beispielkonfiguration (Standard-Variante) =
++**Important GRUB parameters:**
--Eine einfache GRUB-Konfigurationsdatei für PXE-Start mit Secure Boot kann wie folgt aussehen:
++* **set timeout: **Sets the timeout in seconds before the default entry is started
++* **menuentry: **Defines a boot entry in the menu
++* **linuxefi: **Loads the kernel (EFI-specific command)
++* **initrdefi**: Loads the initramfs (EFI-specific command)
++* **set root:** Defines the root file system or TFTP path
++
++
++= Example configuration (standard variant) =
++
++A simple GRUB configuration file for PXE boot with Secure Boot may look as follows:
++
  {{code language="ba"}}
  set default=0
  set timeout=5
@@ -97,16 +97,21 @@
  }
  {{/code}}
--Diese Konfiguration bietet zwei Menüoptionen:
++This configuration offers two menu options:
--1. Start des Rescue- oder Installationssystems über Kernel und Initramfs
--1. Lokaler Bootvorgang über „exit“ (übergibt Kontrolle an Firmware)
++1. Start the rescue or installation system via kernel and initramfs
++1. Local boot process via ‘exit’ (transfers control to firmware)
--Wenn Sie nun ausgehend von dieser Konfiguration starten, erhalten Sie die folgende Bildschirmansicht und der Boot würde nach 5 Sekunden automatisch von der lokalen Festplatte starten.
++If you now start from this configuration, you will see the following screen and the boot will start automatically from the local disk after 5 seconds.
--[[UEFI Boot Screen>>image:UEFI Boot_Bootscreen.png||alt="UEFI Boot Screen"]]
++[[UEFI Boot screen>>image:UEFI Boot_Bootscreen.png||alt="UEFI Boot Screen"]]
--= Hinweis zum Secure Boot in ACMP =
--Das PXE-Boot-System in ACMP unterstützt sowohl Legacy-BIOS, UEFI Boot als auch UEFI mit Secure Boot.
--Bei aktiviertem Secure Boot kann die Funktionalität jedoch eingeschränkt sein. Für maximale Kompatibilität wird empfohlen, eine Distribution mit offiziell signierten Bootloadern (Shim + GRUB) zu verwenden oder Secure Boot zu deaktivieren.
++
++= Note on Secure Boot in ACMP =
++
++The PXE boot system in ACMP supports Legacy BIOS, UEFI Boot and UEFI with Secure Boot.
++
++However, functionality may be limited when Secure Boot is activated. For maximum compatibility, it is recommended to use a distribution with officially signed boot loaders (Shim + GRUB) or to disable Secure Boot.
++
++