Changes for page UEFI Secure Boot

Last modified by Sabrina V. on 2026/02/02 10:18
From version 2.1
edited by Sabrina V.
on 2026/02/02 10:18
Change comment: There is no comment for this version
To version 1.1
edited by Sabrina V.
on 2026/02/02 10:06
Change comment: There is no comment for this version

Summary

Details

Page properties
Content
... ... @@ -1,5 +3,3 @@
1 -and verifies its signature using the distribution certificates embedded in the Shim package.
2 -
3 3  {{aagon.floatingbox/}}
4 4  
5 5  For systems with UEFI firmware and Secure Boot activated, the PXE boot process differs fundamentally from classic legacy boot via BIOS. UEFI uses a modern architecture model based on 64-bit operation, modular expandability and cryptographic verification. While legacy boot loads arbitrary code without integrity checks, Secure Boot enforces a continuous chain of trust that extends from the firmware starter to the kernel. Each component must be digitally signed in order to be executed.
... ... @@ -7,37 +7,37 @@
7 7  Since the Shim bootloader is signed by Microsoft, it is classified as trustworthy by the firmware. The Shim package also contains certificates for the respective distribution, which are used to verify the subsequent components (such as GRUB, the kernel and the initramfs). It is crucial that the certificate chain remains unchanged throughout the entire boot process so that each component is only loaded from an authorized source.
8 8  
9 9  
10 -= PXE boot process in UEFI mode =
8 += Ablauf des PXE-Boots im UEFI-Modus =
11 11  
12 -The process typically proceeds as follows:
10 +Der Ablauf gestaltet sich typischerweise wie folgt:
13 13  
14 -1. **UEFI firmware initialisation**
15 -The firmware initialises hardware components and checks whether Secure Boot is active. It then starts the network stack for PXE boot.
16 -1. **DHCP request and boot file assignment**
17 -The PXE client sends a DHCP request and receives the IP address, boot server (TFTP/HTTP) and the name of the boot file to be loaded, typically ##bootx64.efi##.
18 -1. **Shim start (Microsoft signed)**
19 -The firmware loads ##bootx64.efi## (the Shim bootloader). Since this is signed by Microsoft, it is accepted as trustworthy.
20 -1. **GRUB boot (Distribution signed)**
21 -The Shim bootloader loads ##grubx64.efi## and verifies its signature using the distribution certificates embedded in the Shim package.
22 -1. **Kernel and initramfs start**
23 -GRUB loads the kernel (##vmlinuz##) and the initramfsd (##initrd.img##). Both must be signed, otherwise Secure Boot will deny access to the boot process.
24 -1. **System start and key verification**
25 -Only when all signatures are valid will the kernel be executed and the operating system booted.
12 +1. **UEFI-Firmware-Initialisierung**
13 +Die Firmware initialisiert Hardwarekomponenten und prüft, ob Secure Boot aktiv ist. Anschließend startet sie den Netzwerkstack für den PXE-Boot.
14 +1. **DHCP-Anfrage und Bootdatei-Zuweisung**
15 +Der PXE-Client sendet eine DHCP-Anfrage und erhält IP-Adresse, Bootserver (TFTP/HTTP) und den Namen der zu ladenden Bootdatei, typischerweise ##bootx64.efi##.
16 +1. **Shim-Start (Microsoft-signiert)**
17 +Die Firmware lädt ##bootx64.efi## (den Shim-Bootloader). Da dieser von Microsoft signiert ist, wird er als vertrauenswürdig akzeptiert.
18 +1. **GRUB-Start (Distribution-signiert)**
19 +Der Shim-Bootloader lädt ##grubx64.efi## und überprüft dessen Signatur anhand der im Shim-Paket eingebetteten Zertifikate der Distribution.
20 +1. **Kernel- und Initramfs-Start**
21 +GRUB lädt den Kernel (##vmlinuz##) und die Initramfs (##initrd.img##). Beide müssen signiert sein, sonst verweigert Secure Boot den Startvorgang.
22 +1. **Systemstart und Schlüsselprüfung**
23 +Erst wenn alle Signaturen ltig sind, wird der Kernel ausgeführt und das Betriebssystem gebootet.
26 26  
27 -This architecture ensures that only verified and signed components are executed during the entire boot process.
25 +Diese Architektur stellt sicher, dass während des gesamten Bootvorgangs nur verifizierte und signierte Komponenten ausgeführt werden.
28 28  
29 -= Preparation of the boot files =
27 += Vorbereitung der Bootdateien =
30 30  
31 -For PXE booting under Secure Boot, you need the following files, which are provided by the respective distribution:
29 +Für den PXE-Boot unter Secure Boot benötigen Sie folgende Dateien, die von der jeweiligen Distribution bereitgestellt werden:
32 32  
33 -* ##bootx64.efi## – Shim bootloader (Microsoft signed, from the shim-signed package)
34 -* ##grubx64.efi## – GRUB EFI bootloader (distribution signed)
35 -* ##vmlinuz## – Linux kernel (signed)
36 -* ##initrd.img## – Initial RAM disk (signed)
31 +* ##bootx64.efi## – Shim-Bootloader (Microsoft-signiert, aus dem Paket shim-signed)
32 +* ##grubx64.efi## – GRUB EFI-Bootloader (Distribution-signiert)
33 +* ##vmlinuz## – Linux-Kernel (signiert)
34 +* ##initrd.img## – Initial-RAM-Disk (signiert)
37 37  
38 -These files are usually stored in the ##/tftpboot/## directory or a subfolder such as ##/tftpboot/uefi/## and deployed via DHCP/TFTP.
36 +Diese Dateien werden in der Regel im Verzeichnis ##/tftpboot/## oder einem Unterordner wie ##/tftpboot/uefi/## abgelegt und über DHCP/TFTP verteilt.
39 39  
40 -Example structure
38 +Beispielhafte Struktur
41 41  
42 42  {{code language="bash"}}
43 43  /tftpboot/
... ... @@ -50,15 +50,15 @@
50 50  {{/code}}
51 51  
52 52  {{aagon.warnungsbox}}
53 -If you have multiple distributions, please note that Shim and GRUB must always be used as a matching pair. Each distribution comes with its own set of certificates. Mixing different versions will therefore lead to signature errors and boot failures.
51 +Beachten Sie bei mehreren Distributionen, dass Shim und GRUB immer als passendes Paar verwendet werden müssen. Jede Distribution bringt ihr eigenes Zertifikatsset mit. Eine Mischung unterschiedlicher Versionen führt daher zu Signaturfehlern und Bootabbrüchen.
54 54  {{/aagon.warnungsbox}}
55 55  
56 -= GRUB configuration file =
54 += Anlage der GRUB-Konfiguration =
57 57  
58 -Unlike legacy boot, UEFI Secure Boot uses a GRUB configuration instead of PXELINUX files.
59 -This configuration is usually stored in a file called ##grub.cfg##, which is loaded by ##grubx64.efi##.
56 +Im Gegensatz zum Legacy-Boot verwendet Secure Boot über UEFI eine GRUB-Konfiguration anstelle der PXELINUX-Dateien.
57 +Diese Konfiguration liegt üblicherweise in einer Datei namens ##grub.cfg##, die von ##grubx64.efi## geladen wird.
60 60  
61 -Example structure of the GRUB configuration directory
59 +Beispielhafte Struktur des GRUB-Konfigurationsverzeichnisses
62 62  
63 63  {{code language="bash"}}
64 64  /tftpboot/
... ... @@ -66,25 +66,21 @@
66 66  {{/code}}
67 67  
68 68  {{aagon.infobox}}
69 -Note: Some GRUB implementations expect the ##grub.cfg## file to be located in the following location##tftpboot/grub/grub.cfg##
67 +Anmerkung: Die ##grub.cfg## Datei wird von manchen GRUB-Implementierungen im folgenden Ort erwartet ##tftpboot/grub/grub.cfg##
70 70  {{/aagon.infobox}}
71 71  
70 +**Wichtige GRUB-Parameter:**
72 72  
72 +* **set timeout: **Legt den Timeout in Sekunden fest, bevor der Standard-Eintrag gestartet wird
73 +* **menuentry: **Definiert einen Boot-Eintrag im Menü
74 +* **linuxefi: **Lädt den Kernel (EFI-spezifischer Befehl)
75 +* **initrdefi**: Lädt die Initramfs (EFI-spezifischer Befehl)
76 +* **set root:** Definiert das Root-Dateisystem oder den TFTP-Pfad
73 73  
74 -**Important GRUB parameters:**
78 += Beispielkonfiguration (Standard-Variante) =
75 75  
76 -* **set timeout: **Sets the timeout in seconds before the default entry is started
77 -* **menuentry: **Defines a boot entry in the menu
78 -* **linuxefi: **Loads the kernel (EFI-specific command)
79 -* **initrdefi**: Loads the initramfs (EFI-specific command)
80 -* **set root:** Defines the root file system or TFTP path
80 +Eine einfache GRUB-Konfigurationsdatei für PXE-Start mit Secure Boot kann wie folgt aussehen:
81 81  
82 -
83 -
84 -= Example configuration (standard variant) =
85 -
86 -A simple GRUB configuration file for PXE boot with Secure Boot may look as follows:
87 -
88 88  {{code language="ba"}}
89 89  set default=0
90 90  set timeout=5
... ... @@ -101,21 +101,16 @@
101 101  }
102 102  {{/code}}
103 103  
104 -This configuration offers two menu options:
98 +Diese Konfiguration bietet zwei Menüoptionen:
105 105  
106 -1. Start the rescue or installation system via kernel and initramfs
107 -1. Local boot process via exit (transfers control to firmware)
100 +1. Start des Rescue- oder Installationssystems über Kernel und Initramfs
101 +1. Lokaler Bootvorgang über „exit (übergibt Kontrolle an Firmware)
108 108  
109 -If you now start from this configuration, you will see the following screen and the boot will start automatically from the local disk after 5 seconds.
103 +Wenn Sie nun ausgehend von dieser Konfiguration starten, erhalten Sie die folgende Bildschirmansicht und der Boot würde nach 5 Sekunden automatisch von der lokalen Festplatte starten.
110 110  
111 -[[UEFI Boot screen>>image:UEFI Boot_Bootscreen.png||alt="UEFI Boot Screen"]]
105 +[[UEFI Boot Screen>>image:UEFI Boot_Bootscreen.png||alt="UEFI Boot Screen"]]
112 112  
107 += Hinweis zum Secure Boot in ACMP =
113 113  
114 -
115 -= Note on Secure Boot in ACMP =
116 -
117 -The PXE boot system in ACMP supports Legacy BIOS, UEFI Boot and UEFI with Secure Boot.
118 -
119 -However, functionality may be limited when Secure Boot is activated. For maximum compatibility, it is recommended to use a distribution with officially signed boot loaders (Shim + GRUB) or to disable Secure Boot.
120 -
121 -
109 +Das PXE-Boot-System in ACMP unterstützt sowohl Legacy-BIOS, UEFI Boot als auch UEFI mit Secure Boot.
110 +Bei aktiviertem Secure Boot kann die Funktionalität jedoch eingeschränkt sein. Für maximale Kompatibilität wird empfohlen, eine Distribution mit offiziell signierten Bootloadern (Shim + GRUB) zu verwenden oder Secure Boot zu deaktivieren.
© Aagon GmbH 2026
Besuchen Sie unsere Aagon-Community