Endeavour OS und Secure Boot

[Bu][e]

Hallo Miteinander

Kurz: Hat jemand Erfahrung mit Endeavour OS und Secure Boot? Und hat das schon mal jemand eingerichtet zusammen mit Dual Boot mit Windows 11?

Lang: Ich habe/hatte eine Festplatte mit einer Windows 10 und Endeavour OS- Partition im Dualboot. Um auf Windows 11 upgraden zu können, habe ich im BIOS (Gigabyte B550 Aorus Pro AC) TPM und Secure Boot (SB) im Setup Mode aktiviert. Das Upgrade auf Win 11 hat gut geklappt und Endeavour OS bootete (wohl aufgrund des SB im Setup Mode) trotzdem noch.
So weit, so gut. Jedoch verlangt Battlefield 6 (darum mache ich auch die ganze Übung...) nach einem vollständig aktiviertem SB.
Ich wollte dann EOS fit für SB machen und habe die Anleitung von hier durchgeführt: 3.1.3 Assisted process with systemd
Beim letzten Schritt "reboot to enroll the keys in the firmware" fragte mich der PC noch, ob ich sicher bin. Danach bootete das System nicht mehr... Ich hätte in die Tischkante beissen können.

Das System habe ich dann wieder hingekriegt mit CMOS-Reset, QFlash Upgrade und Ausbau des Riserkabels (hierbei noch günstigerweise beim WaKü abhängen ein Teil des Wassers über das MoBo gesprenkelt...) und Rückstellen des PCIe x16 auf Gen3...
Aktueller Stand; Nur mehr Windows startet. Im UEFI ist kein Linux Bootloader mehr ersichtlich.
Falls hier jemand Hilfe bieten kann, wäre ich sehr froh.

Eigentlich wollte ich ja Win11 auf eine separate Platte nehmen. Jedoch ist der zweite NVME-Slot bereits belegt und SATA bootet nur noch im Legacy-Modus (also ohne SB).

Das Ziel ist es, Windows 11 und EOS im Dual Boot mit SB betreiben zu können. EOS ist das Hauptsystem; Win11 benötige ich nur für BF6.

Vielen Dank und Gruss
Bu][e

 

[Nordwind2000]

Ich habe dieses Kunststück mit CachyOS probiert und immer wieder gescheitert. Egal welche Variante ich genutzt habe. Bei Fedora ging total easy... Enroll Key im mokutil und gut war es. Cachy und Arch wollen nicht so richtig booten mit SecureBoot.

Vielleicht ändert die neue Agesa das ganze Thema ja wieder. Aktuell scheint mir SB verbuggt zu sein. Habe auch mehreren Systemen Probleme selbst mit Windows den Wechseln ordentlich zu vollziehen.

 

[Falex163]

Hey hey, also das ist auf Cachy ganz einfach! Ich bin auch totaler Linuxnoob und habe es trotzdem geschafft. Cachy hat ne top Dokumentation. Diese Dokumentation gibst du der KI deiner Wahl (z.b. Gemini, Claude oder ChatGPT) und kannst es mit ihr dann im Terminal easy einrichten… Hier die Dokumentation, die du der KI teilst: https://wiki.cachyos.org/configuration/secure_boot_setup/ Total easy, wenn ich das schaffe, schaffst du es auch!

 

[xNeo92x]

Ich habe es bei mir auch nach der offiziellen CachyOS Anleitung umgesetzt. Bin mittendrin auch vor die Wand gefahren, bis ich verstanden habe, dass ich die alten Keys im BIOS zuerst löschen muss. Erst dann befindet sich Secureboot im Setup Mode und der Rest kann nach Anleitung erfolgen.

 

[Bu][e]

Vielen Dank für die Rückmeldungen!
Mein nächster Versuch wäre jetzt auch mit sbctl gewesen. Was mir aktuell nicht klar ist, wie ich die Keys ins BIOS laden kann; muss ich diese auf einen USB-Stick kopieren und danach im BIOS diese von da auswählen?
Aktuell habe ich keine Keys im BIOS, wie ich gesehen habe.

Ausserdem muss ich wohl grub (?) frisch installieren von einem Live-System. Und muss wohl auch gleich die Signierung da durchführen. Seit dem BIOS-Update habe ich gar keinen Setup Mode mehr von Secure Boot.

 

[SavageSkull]

Ich bin auch totaler Linuxnoob und habe es trotzdem geschafft. Cachy hat ne top Dokumentation.

Ich habe die Doku gesehen und verstehe da nur Bahnhof. Da ich aber auch kein Multiboot mit Windows habe, habe ich einfach Secure Boot ausgeschaltet. Wüßte jetzt nicht wofür ich das überhaupt benötige.

 

[Bu][e]

Leider eben für Battlefield 6... Die Technik, Thaddeus...

 

[Real-Duke]

Es müsste im BIOS im Secureboot Setup Modus die Möglichkeit geben Standard Keys zu laden, das reichte bei mir damals.
Habe selbst auch ein Multiboot System mit CachyOS, Windows 10 und Linux Mint und alle nachträglich nach den Anleitungen auf Secureboot umgestellt.Ist bei mir leider schon etwas her und ich kann mich nicht mehr wirklich an die Details erinnern....

Ich gehe mal davon aus, dass Du erstmal Grub reparieren musst und dann ein neuer Versuch.
Vorher ein Backup des Systems war keine Option?

 

[xNeo92x]

. Was mir aktuell nicht klar ist, wie ich die Keys ins BIOS laden kann; muss ich diese auf einen USB-Stick kopieren und danach im BIOS diese von da auswählen?
Aktuell habe ich keine Keys im BIOS, wie ich gesehen habe.

Es muss nichts auf den USB Stick kopiert werden. Wenn du die Anleitung von der CachyOS Doku befolgst, werden dort die entsprechenden Keys generiert und gleich in die EFI Partition geschrieben. Wenn es einmal eingerichtet ist, brauchst du es danach nicht mehr anzufassen. Selbst bei Kernel Updates usw. werden die neuen Grub-Einträge mit dem neueren Kernel automatisch signiert.
Zumindest passiert das so unter CachyOS.

 

[gimmix]

@Bu][e versuchs mit der Anleitung im Archwiki. Die Anleitung für CachyOS funktioniert mit Endeavour natürlich nicht, wenn man sie 1:1 übernimmt.

Ergänzung (31. Oktober 2025)

Ok, sehe gerade: hast du ja schon gemacht. Da war aber das "einfache" Einrichten mit systemd der falsche Weg.

 

[Falex163]

Ich habe die Doku gesehen und verstehe da nur Bahnhof. Da ich aber auch kein Multiboot mit Windows habe, habe ich einfach Secure Boot ausgeschaltet. Wüßte jetzt nicht wofür ich das überhaupt benötige.

Ja, als noob verstehe ich auch nicht viel von den ganzen Sachen, aber wenn du weißt, was du willst, z.B. ein Dualboot-System wie der TE (Win11 für BF6 - Rest Linux), dann kann dir die KI ja bei allem helfen. Solange du vernünftig promptest, ein bisschen mitdenkst bei den KI-Antworten und deine Ziele klar hast, ist die KI echt super stark. Ich habe z.B. keine Ahnung von HomeLabs aber dank KI habe ich einen m75n laufen und einen pi5 mit Pihole+Unbound+Hyperlocal auf beiden Systemen mit Keepalived für Backup, damit Internet bei DNS-Ausfall nicht weg ist, falls ein SBC ausfällt, sowie Immich, Home Assistant, OpenCloud Compose Stack mit Radicale, Vaultwarden etc.pp. Ohne KI hätte ich sowas niemals geschafft.

 

[Bu][e]

@Real-Duke : Eigentlich wollte ich ja eine Sicherung machen, aber ...
@xNeo92x : Wie bereits gimmix geschrieben hat, wird das wohl nicht 1:1 umsetzbar sein. Aber ich schaue mir das mal an. Vielen Dank!
@gimmix : Ja, ich habe die Anleitung unter Punkt 3.1.3 gemacht; ev. muss ich noch mit 3.1.4 probieren.
@Falex163 : Ja, ich habe bereits einen ganzen Abend mit Chatten verbracht. Das doofe ist, dass man sich nie 100% darauf verlassen kann. Schlussendlich musste ich den PC gestern auch ohne KI retten. Die hatte keine Ahnung. Ich bin auch überrascht, wie viel sie weiss. Nur haut sie halt auch Ratschläge aus, welche nicht funktionieren.

Was ich auch nicht verstehe ist, dass ich aktuell zwei EFI-Partitionen auf der Platte habe; ich gehe davon aus, dass ich auf einer Platte Grub hatte, welche dann in die EFI-Partition von EOS mit systemd gebootet hatte.
Ist das nicht zuviel des Guten?

 

[gimmix]

Nein, zwei EFI-Partitionen sind gut, dann ist die Gefahr geringer, dass dir Windows mit dem nächsten Update GRUB zerschießt. Guck nochmal im BIOS, ob du nicht doch irgendwo GRUB als Bootoption findest!(Secureboot ausschalten, Endeavour starten, GRUB für Secureboot vorbereiten usw. Du musst halt die MS-Keys enrollen, sonst wird das nichts.)

 

[DavidXanatos]

Also ich denke nicht das das ein agesa problem ist auf meiner TR workstation habe ich die neueste firmware drauf und SB mit eigenen keys, damit kann man unter windows ohne test mode selbst signierte treiber laden bei aktivem SB.

Mein tip vergiss die linux tools schau das du den PK und KEK mit einem eigenem Key fütterst und DB mit einem dump der default keys + einem zweitem eigene
wen dein eigene KEK drin ist müsste MS nicht mehr in der lage sein DB oder DBX zu aktualisieren und was kaputt zu machen.
Mach das alles unter windows mit powershell befehlen kannst im setup mode die variablen eifnach überschreiben.

Wenn du alles soweit hast das du ein privaten key in händen hälst mit dem du binaries fürs efi signieren kannst und windows immer noch bootet, dan kanst mit linux anfangen.

Spoiler: Hier sind mal meine notizen vom einrichten auf der TR workstatoin

# Run Powershell as administrator:

# Define the friendly name of the certificate
#$friendlyName = 'Localhost Root Certification Authority'

# Retrieve the certificate from the certificate store
#$root_cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.FriendlyName -eq $friendlyName }


#$db_cert_thumbprint = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -eq 'CN=Localhost UEFI Signature Database Certificate' }).Thumbprint
#$db_cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Thumbprint -eq $db_cert_thumbprint }

#$kek_cert_thumbprint = (Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -eq 'CN=Localhost UEFI Key Exchange Key Certificate' }).Thumbprint
#$kek_cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Thumbprint -eq $kek_cert_thumbprint }





$cert_params = @{
Type = 'Custom'
Subject = 'CN=Localhost Root Certification Authority'
FriendlyName = 'Localhost Root Certification Authority'
TextExtension = '2.5.29.19={text}CA=1'
HashAlgorithm = 'sha512'
KeyLength = 4096
KeyAlgorithm = 'RSA'
KeyUsage = 'CertSign','CRLSign'
KeyExportPolicy = 'Exportable'
NotAfter = (Get-Date).AddYears(100)
CertStoreLocation = 'Cert:\LocalMachine\My'
}

$root_cert = New-SelfSignedCertificate @cert_params



$cert_params = @{
Type = 'CodeSigningCert'
Subject = 'CN=Localhost Kernel Mode Driver Certificate'
FriendlyName = 'Localhost Kernel Mode Driver Certificate'
TextExtension = '2.5.29.19={text}CA=0'
Signer = $root_cert
HashAlgorithm = 'sha256'
KeyLength = 2048
KeyAlgorithm = 'RSA'
KeyUsage = 'DigitalSignature'
KeyExportPolicy = 'Exportable'
NotAfter = (Get-Date).AddYears(100)
CertStoreLocation = 'Cert:\LocalMachine\My'
}

$km_cert = New-SelfSignedCertificate @cert_params



$cert_params = @{
Type = 'Custom'
Subject = 'CN=Localhost UEFI Platform Key Certificate'
FriendlyName = 'Localhost UEFI Platform Key Certificate'
TextExtension = '2.5.29.19={text}CA=0'
Signer = $root_cert
HashAlgorithm = 'sha256'
KeyLength = 2048
KeyAlgorithm = 'RSA'
KeyUsage = 'DigitalSignature'
KeyExportPolicy = 'Exportable'
NotAfter = (Get-Date).AddYears(100)
CertStoreLocation = 'Cert:\LocalMachine\My'
}

$pk_cert = New-SelfSignedCertificate @cert_params



# Parameters for the KEK certificate
$kek_params = @{
Type = 'Custom'
Subject = 'CN=Localhost UEFI Key Exchange Key Certificate'
FriendlyName = 'Localhost UEFI Key Exchange Key Certificate'
TextExtension = '2.5.29.19={text}CA=0'
Signer = $pk_cert
HashAlgorithm = 'sha256'
KeyLength = 2048
KeyAlgorithm = 'RSA'
KeyUsage = 'DigitalSignature'
KeyExportPolicy = 'Exportable'
NotAfter = (Get-Date).AddYears(100)
CertStoreLocation = 'Cert:\LocalMachine\My'
}

# Create the KEK certificate
$kek_cert = New-SelfSignedCertificate @kek_params



# Parameters for the SB certificate to be enrolled in DB
$sb_params = @{
Type = 'Custom'
Subject = 'CN=Localhost UEFI Secure Boot Certificate'
FriendlyName = 'Localhost UEFI Secure Boot Certificate'
TextExtension = '2.5.29.19={text}CA=0'
Signer = $kek_cert
HashAlgorithm = 'sha256'
KeyLength = 2048
KeyAlgorithm = 'RSA'
KeyUsage = 'DigitalSignature'
KeyExportPolicy = 'Exportable'
NotAfter = (Get-Date).AddYears(100)
CertStoreLocation = 'Cert:\LocalMachine\My'
}

# Create the SB certificate
$sb_cert = New-SelfSignedCertificate @sb_params



# Export the certificates
Export-Certificate -Cert $root_cert -FilePath C:\Certificates\localhost-root.cer
Export-Certificate -Cert $km_cert -FilePath C:\Certificates\localhost-km.cer
Export-Certificate -Cert $pk_cert -FilePath C:\Certificates\localhost-pk.cer
Export-Certificate -Cert $kek_cert -FilePath C:\Certificates\localhost-kek.cer
Export-Certificate -Cert $sb_cert -FilePath C:\Certificates\localhost-sb.cer

# Export the private key for signing binaries (if needed)
Export-PfxCertificate -Cert $root_cert -FilePath "C:\Certificates\localhost-root.pfx" -Password (ConvertTo-SecureString -String "********" -Force -AsPlainText)
Export-PfxCertificate -Cert $km_cert -FilePath "C:\Certificates\localhost-km.pfx" -Password (ConvertTo-SecureString -String "********" -Force -AsPlainText)
Export-PfxCertificate -Cert $pk_cert -FilePath "C:\Certificates\localhost-pk.pfx" -Password (ConvertTo-SecureString -String "********" -Force -AsPlainText)
Export-PfxCertificate -Cert $kek_cert -FilePath "C:\Certificates\localhost-kek.pfx" -Password (ConvertTo-SecureString -String "********" -Force -AsPlainText)
Export-PfxCertificate -Cert $sb_cert -FilePath "C:\Certificates\localhost-sb.pfx" -Password (ConvertTo-SecureString -String "********" -Force -AsPlainText)



#signtool sign /fd SHA256 /a /f .\localhost-sb.pfx /p "********" /t http://timestamp.digicert.com C:\path\to\your\uefi\binary.efi





New-CIPolicy -FilePath SiPolicy.xml -Level RootCertificate -ScanPath C:\windows\System32\
# or use the prepared one

Add-SignerRule -FilePath .\SiPolicy.xml -CertificatePath .\localhost-km.der -Kernel

ConvertFrom-CIPolicy -XmlFilePath .\SiPolicy.xml -BinaryFilePath .\SiPolicy.bin

signtool sign /fd sha256 /p7co 1.3.6.1.4.1.311.79.1 /p7 . /f .\localhost-pk.pfx /p "********" SiPolicy.bin


mv .\SiPolicy.bin.p7 .\SiPolicy.p7b
mountvol x: /s
cp .\SiPolicy.p7b X:\EFI\Microsoft\Boot\




signtool sign /fd sha256 /td sha256 /ac .\localhost-root.cer /f .\localhost-km.pfx /p "********" /tr http://timestamp.digicert.com Ownership.sys

ssde_enable.exe
#reboots

copy Ownership.sys c:\Windows\System32\drivers\
sc create Ownership binpath=%windir%\system32\drivers\Ownership.sys type=kernel start=auto error=normal
sc start Ownership

den teil mit der CI policy kanst ignoreiren das ist nur für den windows custom kernel signer hack.

Spoiler: Und die variante mit per powershell die keys setzen an meinem HP laptop

Get-SecureBootUEFI -Name PK -OutputFilePath D:\SecureBoot\HpPk.BAK
Get-SecureBootUEFI -Name KEK -OutputFilePath D:\SecureBoot\HpKek.BAK
Get-SecureBootUEFI -Name DB -OutputFilePath D:\SecureBoot\HpDb.BAK
Get-SecureBootUEFI -Name DBX -OutputFilePath D:\SecureBoot\HpDbx.BAK



# PK

Format-SecureBootUEFI -Name PK -SignatureOwner 7A39C3E7-4D14-4ED0-90F7-56E4750E628D -ContentFilePath .\PK_SigList.bin -FormatWithCert -Certificate "D:\bin\MyCKS\DC_1.3\localhost-pk.cer" -SignableFilePath .\PK_SigList_Serialization_for_PK.bin -Time 2024-09-20T11:09:00Z

signtool.exe sign /fd sha256 /p7 .\ /p7co 1.2.840.113549.1.7.1 /p7ce DetachedSignedData /a /f .\PK.PFX /p <password> PK_SigList_Serialization_for_PK.bin

Set-SecureBootUEFI -Name PK -Time 2024-09-20T11:09:00Z -ContentFilePath .\PK_SigList_Serialization_for_PK.bin -SignedFilePath .\PK_SigList_Serialization_for_PK.bin.p7 -OutputFilePath .\PK_NewKey_Import_PK.bin

Set-SecureBootUEFI -Name PK -Time 2024-09-20T11:09:00Z -ContentFilePath .\PK_SigList.bin -SignedFilePath .\PK_SigList_Serialization_for_PK.bin.p7



# KEK

Format-SecureBootUEFI -Name KEK -SignatureOwner 7A39C3E7-4D14-4ED0-90F7-56E4750E628D -ContentFilePath .\KEK_SigList.bin -FormatWithCert -Certificate "D:\bin\MyCKS\DC_1.3\localhost-kek.cer" -SignableFilePath .\KEK_SigList_Serialization_for_KEK.bin -Time 2024-09-20T11:09:00Z

signtool.exe sign /fd sha256 /p7 .\ /p7co 1.2.840.113549.1.7.1 /p7ce DetachedSignedData /a /f .\PK.PFX /p <password> KEK_SigList_Serialization_for_KEK.bin

Set-SecureBootUEFI -Name KEK -Time 2024-09-20T11:09:00Z -ContentFilePath .\KEK_SigList_Serialization_for_KEK.bin -SignedFilePath .\KEK_SigList_Serialization_for_KEK.bin.p7 -OutputFilePath .\KEK_NewKey_Import_KEK.bin

Set-SecureBootUEFI -Name KEK -Time 2024-09-20T11:09:00Z -ContentFilePath .\KEK_SigList.bin -SignedFilePath .\KEK_SigList_Serialization_for_KEK.bin.p7



# DB

Format-SecureBootUEFI -Name DB -Time 2024-09-20T11:09:00Z -SignatureOwner 7A39C3E7-4D14-4ED0-90F7-56E4750E628D -ContentFilePath .\Db_SigList.bin -CertificateFilePath .\MicCorUEFCA2011_2011-06-27.crt, .\MicWinProPCA2011_2011-10-19.crt, "D:\bin\MyCKS\DC_1.3\localhost-db.cer" -FormatWithCert -SignableFilePath .\Db_SigList_Serialization_for_DB.bin

signtool.exe sign /fd sha256 /p7 .\ /p7co 1.2.840.113549.1.7.1 /p7ce DetachedSignedData /a /f .\KEK.PFX /p <password> Db_SigList_Serialization_for_DB.bin

Set-SecureBootUEFI -Name DB -Time 2024-09-20T11:09:00Z -ContentFilePath .\Db_SigList_Serialization_for_DB.bin -SignedFilePath .\Db_SigList_Serialization_for_DB.bin.p7 -OutputFilePath .\Db_Output_for_DB.bin

Set-SecureBootUEFI -Name DB -Time 2024-09-20T11:09:00Z -ContentFilePath .\Db_SigList.bin -SignedFilePath .\Db_SigList_Serialization_for_DB.bin.p7



# DBX

Format-SecureBootUEFI -Name DBX -Time 2024-09-20T11:09:00Z -SignatureOwner 7A39C3E7-4D14-4ED0-90F7-56E4750E628D -ContentFilePath .\Dbx_SigList.bin -CertificateFilePath "D:\bin\MyCKS\DC_1.3\localhost-dbx.cer" -FormatWithCert -SignableFilePath .\Dbx_SigList_Serialization_for_DBX.bin

signtool.exe sign /fd sha256 /p7 .\ /p7co 1.2.840.113549.1.7.1 /p7ce DetachedSignedData /a /f .\KEK.PFX /p <password> Dbx_SigList_Serialization_for_DBX.bin

Set-SecureBootUEFI -Name DBX -Time 2024-09-20T11:09:00Z -ContentFilePath .\Dbx_SigList_Serialization_for_DBX.bin -SignedFilePath .\Dbx_SigList_Serialization_for_DBX.bin.p7 -OutputFilePath .\Dbx_Output_for_DBX.bin

Set-SecureBootUEFI -Name DBX -Time 2024-09-20T11:09:00Z -ContentFilePath .\Dbx_SigList.bin -SignedFilePath .\Dbx_SigList_Serialization_for_DBX.bin.p7

ah ja zum extrahieren der DB einträge um daraus die eigenen neue DB zu bauen + mein key hab ich doch tatsächlcih ein linux tool gebraucht.




die ganzen localhost certs sind die selbst signierten keys die must gut aufbewaren sonst ist dein system leicht zu kompromitieren

Ergänzung (31. Oktober 2025)

PS: für Windows 11 brauchst du kein SB, der pc muss es prinzipiel können es darf aber ganz aus sein, also probier doch mal ob wen du SB eifnach ganz abstellst dein spiel immer noch mäckert.

 

[DoedelFIX]

Bei Secure Boot solltet ihr einfach mal wissen, welches Linux bei euch laufen soll und den Anleitungen folgen.
Ich habe mich für CachyOS und Windows 11 nebeneinander auf zwei unterschiedlichen SSDs entschieden.

Da Grub irgendwie bei mir nicht mit Secure Boot wollte, habe ich jetzt den "systemd-boot" am laufen. Das ist auch wohl der CachyOS Standard Bootmanger.

Agesa spielt überhaupt keine Rolle.
Auch nicht die Windows Zertifikate (Keys), die von "sbctl" mit der CachyOS Anleitung mit ausgerollt werden für Windows 11. Mit "sbctl" muss man nochniemals das Bios neu flashen (was immer neue Infos & Anleitungen zu Win11 sagen), das die neuen Windows 11 Zertifikate (Keys) ins Bios kommen. Bei mir laufen beide Systeme mit Secure Boot.

 

[schiz0]

Ich habe auch Endeavour OS auf dem PC,bis vor kurzem auch mit Windows 11 als Dualboot am laufen gehabt. Grub nutze ich allerdings nicht, sondern systemd.

 

[Sinimini]

Ich habe es bei mir auch nach der offiziellen CachyOS Anleitung umgesetzt. Bin mittendrin auch vor die Wand gefahren, bis ich verstanden habe, dass ich die alten Keys im BIOS zuerst löschen muss. Erst dann befindet sich Secureboot im Setup Mode und der Rest kann nach Anleitung erfolgen.

Bevor ich jetzt auch gegen die Wand fahre frag ich noch mal.

Ich hab Win11 mit Secure Boot auf einer HDD.
Heißt ich würde jetzt folgendes machen

• Secure Boot deaktivieren
• Vom USB Stick booten um Linux zu installieren, wahrscheinlich nicht notwendig aber einmal in das installierte Linux booten
• Danach in die UEFI Einstellungen gehen und Secure Boot aktivieren
• Ich hab ein MSI Board und da würde ich z.B. von Standard Key in den Custom Key wechseln
• Danach wieder in Linux booten
• In meinem fall wenn ich Limine verwenden will den Befehl aus der CachyOS Wiki ausführen

Windows 11 funzt dann mit den Custom Keys ganz normal weiter? Weil MSI oder andere Hersteller die Standard Keys die MS verwendet trotzdem mit verwendet?

 

[DavidXanatos]

Weil MSI oder andere Hersteller die Standard Keys die MS verwendet trotzdem mit verwendet?

Nein weil "sudo sbctl enroll-keys --microsoft # Enroll your keys with Microsoft's keys" du mit einem der befehle aus dem wiki den MS Key selbst in deine UEFI DB variable einträgst.

Also konkret wen du linux only fahren wollen würdest köntest du auch ganz einfach MS vom booten auf deinen geräten komplett aussperren

 

[Bu][e]

Kleines Update von meiner Seite;
Ich habe übers Wochenende versucht, wieder in Endeavour OS zu booten. Leider bisher ohne Erfolg.
Immerhin bootet nun Grub (wenn auch ohne Einträge. ). Und Windows bootet ebenfalls immer noch.

Mein Verdacht ist, dass Grub die falsche Konfig verwendet, oder aber die Konfig nicht findet. Das muss ich noch einmal sauber aufdröseln (wie ChatGPT so sagt)...

Auf jeden Fall bin ich aktuell nicht mehr so sicher, ob ich die Secure-Boot-Installation noch einmal durchziehe, sondern SB ganz deaktiviere und einfach beim Windows-Boot im Bios diesen schnell aktiviere.

 

[xNeo92x]

Also bei mir war die Ausgangssituation so:
Ich hatte zuerst nur Windows 11 mit Secureboot.
Dann habe ich Secureboot deaktiviert, um Nobara CachyOS auf einer anderen SSD zu installieren.
CachyOS ist bei mir mit Grub installiert.
Mein "vor die Wand fahren" war, dass ich bei mir Secureboot nicht in den Setup Mode bekommen konnte. Bis ich dann gesehen habe, dass dort schon Keys hinterlegt waren. Also hab ich sie im BIOS gelöscht und dadurch war es im Setup Mode.
Erst dann konnte ich mit aktiviertem Secureboot in CachyOS reinbooten, weil ja noch keine Keys abgefragt wurden.
Und dann bin ich ganz normal der Anleitung gefolgt.
Also mit sudo sbctl status geprüft, ob es wie in der Anleitung passt.
Dann mit sudo sbctl create-keys neue Keys erstellt.
Dann mit sudo sbctl enroll-keys --microsoft die Keys verteilt.
Und mit sudo sbctl status nochmals den Status geprüft.

Dann mit sudo sbctl verify geprüft, ob alle EFI Einträge gefunden werden. Also alle von Linux und auch die von Windows, welches bei mir auf einer anderen SSD installiert ist.
Dann mit sudo sbctl-batch-sign alle Einträge signiert und mit sudo sbctl verify geprüft, ob sie als signiert erkannt werden.