Durante operaciones de migración en Proxmox VE, algunos administradores están empezando a ver un aviso relacionado con la gestión de Secure Boot y certificados UEFI.
El mensaje más habitual es: “EFI disk without ‘ms-cert=2023k’ option”
Este aviso indica que la máquina virtual no tiene instalados todavía los certificados UEFI más recientes de Microsoft (2023), lo que puede generar problemas futuros con Secure Boot.
¿Por qué este aviso es importante?
Microsoft está en proceso de transición entre dos generaciones de certificados:
- Certificados UEFI 2011 (legacy)
- Certificados UEFI 2023 (nueva cadena de confianza)
Los certificados antiguos expiran en junio de 2026, lo que afecta a:
- Windows 10 / Windows 11
- Windows Server 2022 y 2025
- Distribuciones Linux modernas
- VMs UEFI con OVMF
- Sistemas con Secure Boot activo
¿Por qué Linux también se ve afectado?
Aunque el cambio proviene de Microsoft, Linux depende indirectamente de su infraestructura de confianza mediante el bootloader shim.
La cadena de arranque es:
UEFI firmware → Microsoft CA → shim → GRUB → kernel Linux
Esto significa que distribuciones como:
- Ubuntu
- Debian
- Fedora
- AlmaLinux
- Rocky Linux
Estos sistemas dependen de esta cadena para arrancar con Secure Boot activado.
¿Qué significa realmente el aviso en Proxmox?
El mensaje indica lo siguiente:
- La VM todavía usa certificados UEFI antiguos
- Puede fallar la validación futura de Secure Boot
- Pueden aparecer problemas en:
- Arranque del sistema
- Actualizaciones del bootloader
- Migraciones entre hosts
Hoy no es un fallo crítico, pero sí una advertencia preventiva importante.
¿Cómo comprobar si tu VM está afectada?
En Proxmox puedes verificarlo con:
qm config <VMID>
Busca:
- bios: ovmf
- efidisk0
También puedes comprobarlo desde la interfaz web:
VM → Hardware → BIOS
Pregunta: ¿La VM utiliza UEFI?
- Si aparece OVMF (UEFI) y EFI Disk, la VM está potencialmente afectada
¿Cómo solucionar el problema en Proxmox VE?
Paso recomendados a seguir para encontrar una posible solución..
Apagar la máquina virtual y ejecutar:
qm enroll-efi-keys <VMID>
Ejemplo:
qm enroll-efi-keys 126
O desde la interfaz gráfica:
VM → Hardware → EFI Disk → Disk Action → Enroll Updated Certificates
Riesgo con BitLocker en Windows
Si usas Windows con BitLocker, debes tener precaución.
Pregunta: ¿Qué puede ocurrir si no se prepara BitLocker antes del cambio?
Windows puede entrar en modo recuperación al detectar cambios en Secure Boot.
Antes de actualizar certificados ejecuta:
manage-bde -protectors -disable C:
Después del proceso:
manage-bde -protectors -enable C:
Windows y actualización de certificados UEFI 2023
Microsoft está integrando soporte para la nueva cadena UEFI en actualizaciones recientes de 2026.
En algunos casos será necesario:
- Tener Windows actualizado (marzo 2026 o superior)
- Permitir la inscripción automática de certificados
¿Por qué Proxmox está gestionando bien esta transición?
A diferencia de otras plataformas, Proxmox permite:
- Actualización directa de certificados
- Comandos simples como qm enroll-efi-keys
- Gestión integrada desde interfaz web
En comparación, otras soluciones como VMware requieren procesos más manuales en versiones antiguas.
Conclusión
El aviso de Proxmox sobre certificados UEFI no debe ignorarse.
Aunque los sistemas siguen funcionando actualmente, la transición hacia los certificados UEFI 2023 de Microsoft será obligatoria antes de junio de 2026.
Recomendación final:
- Actualizar certificados en VMs UEFI
- Revisar BitLocker antes de cambios
- Mantener Windows y Linux actualizados
- Auditar VMs con EFI en Proxmox