@ElektrodaBot - zainstalowałem LUbuntu 24.04 z UEFI na nowym laptopie Dell Latitude 5550, i chciałbym móc bootować ten system z włączonym Secure Boot w trybie Deployed - ale kiedy włączam ten tryb, BIOS zgłasza błąd "Operating System Loader has no signature..." - jak to naprawić, żeby mieć Secure Boot w trybie Deployed? Dla Secure Boot w trybie Audit działa bez problemów.
Załączam obrazki (fotki) z ekranu laptopa:
- tu jest komunikat: Operating System Loader has no signature. Incompatible with SecureBoot. All bootable devices failed Secure Boot verification.
- tu jest wybór, co można zbootować - Ubuntu, Windows, dyski i sieć.
- tu są ustawienia Secure Boot: włączony, wyłączone Microsoft UEFI CA, tryb Deployed.
- tu są ustawienia Expert Key Management: Custom Mode jest wyłączony.
- a tu jest ostrzeżenie przy próbie włączenia Custom Mode: Modifying Secure Boot Databases could render your system unable to boot. System graphics man not function. Some devices might not function properly. The system could become unrecoverable.
Opisano w niej 5 typów BIOS-u - u mnie jest Typ 1. W instrukcji każą zrobić tak:
Dell napisał:
Perform the following steps:
Press F2 to enter the BIOS
Select Boot Configuration
Turn ON Enable Custom Mode (Under Expert Key Management)
Click Reset All Keys
Click Apply button
Click Exit button (click OK to save if prompted)
On the next boot, press F2 to enter BIOS
Select Boot Configuration
Turn OFF Enable Custom Mode (Under Expert Key Management)
Click Apply button
Click Exit button (click OK to save if prompted)
Wynik: nic się nie zmieniło, trzeba włączać w Secure Boot tryb Audit, bo tryb Deployed nie startuje Linux-a. @ElektrodaBot - doradzisz coś?
Aha, w instrukcji napisano jeszcze:
Dell napisał:
Warning: This could result in a no-boot situation if you are not familiar with Secure Boot. Secure Boot Active DB should be left to Windows Update to update. This scenario is for those users that are blocking Windows Update and understand Secure Boot requirements.
Note: You should disable BitLocker before performing these steps.
Znalazłem instrukcję na stronie Dell-a : How To Update Secure Boot Active Database from BIOS
Opisano w niej 5 typów BIOS-u - u mnie jest Typ 1. W instrukcji każą zrobić tak:
Wynik: nic się nie zmieniło, trzeba włączać w Secure Boot tryb Audit, bo tryb Deployed nie startuje Linux-a. @ElektrodaBot - doradzisz coś?
Aha, w instrukcji napisano jeszcze:
Bezpośrednia odpowiedź Przyczyna jest prosta: masz wyłączone “Enable Microsoft UEFI CA”. Na platformach Dell (w tym Latitude 5550) ta opcja decyduje, czy w bazie Secure Boot (db) znajduje się certyfikat Microsoft 3rd‑party UEFI CA, którym podpisany jest loader Ubuntu (shim). Gdy jest OFF, tryb Deployed odrzuca Ubuntu dokładnie z komunikatem, który pokazałeś. Włącz “Enable Microsoft UEFI CA”, upewnij się, że wpis „Ubuntu” startuje z pliku shimx64.efi, i uruchamiaj w trybie Deployed. To udokumentowana przez Della przyczyna i rozwiązanie, a Latitude 5550 figuruje na liście dotkniętych platform. (dell.com)
Kluczowe kroki (BIOS Type 1): - Boot Configuration → Enable Secure Boot: ON - Boot Configuration → Enable Microsoft UEFI CA: ON (nie „Allow Pre‑boot Modules only”) - Secure Boot Mode: Deployed - Boot Sequence → pozycja „Ubuntu” ma wskazywać na \EFI\ubuntu\shimx64.efi - Zapisz (Apply) i zrestartuj. (dell.com)
Uwaga: procedura „How to Update Secure Boot Active Database” odświeża klucze, ale nie nadpisuje stanu przełącznika „Enable Microsoft UEFI CA”. Jeśli ta flaga pozostaje OFF, Ubuntu dalej nie wystartuje w Deployed. (dell.com)
---
Szczegółowa analiza i procedura naprawcza
1) Dlaczego to nie działało - Łańcuch zaufania Ubuntu/Lubuntu: firmware weryfikuje podpis shim (shimx64.efi) certyfikatem Microsoft 3rd‑party UEFI CA; następnie shim weryfikuje podpis GRUB‑a i jądra kluczem Canonical. Jeśli w db nie ma certyfikatu Microsoft, firmware blokuje wykonanie już na etapie shim i widzisz “Operating System Loader has no signature…”. (documentation.ubuntu.com) - Dell opisuje dokładnie Twój objaw i zaleca: włączyć „Enable Microsoft UEFI CA” w BIOS. Ten artykuł dotyczy m.in. Latitude 5550 i wymienia identyczny komunikat błędu. (dell.com)
2) Co dokładnie ustawić w BIOS (Dell Type 1) - Secure Boot → Enable Secure Boot: ON - Secure Boot/Boot Configuration → Enable Microsoft UEFI CA: Enabled. Nie wybieraj „Allow Pre‑boot Modules only” (na części modeli blokuje to bootloadery stron trzecich, w tym Linux). (dell.com) - Secure Boot Mode: Deployed - Expert Key Management: Custom Mode pozostaw OFF (nie musisz ręcznie edytować PK/KEK/db/dbx). Jeśli wcześniej manipulowałeś kluczami, możesz wykonać Reset All Keys według instrukcji Dell Type 1, a potem wyłączyć Custom Mode – ale kluczowe i tak jest ustawienie „Enable Microsoft UEFI CA” na ON. (dell.com)
3) Sprawdzenie ścieżki rozruchu Ubuntu - W Boot Sequence zaznacz „Ubuntu” → sprawdź, czy wskazuje na \EFI\ubuntu\shimx64.efi. Jeśli nie, usuń wpis i dodaj go ponownie wskazując na shimx64.efi. Ubuntu domyślnie instaluje wpis na shim; jednak po migracjach/naprawach bywa, że wpis pokazuje bezpośrednio na grubx64.efi. (documentation.ubuntu.com)
4) Weryfikacja od strony systemu (opcjonalnie; uruchom w Audit, jeśli Deployed jeszcze nie startuje) - Sprawdź stan SB i wersje pakietów: - mokutil --sb-state - dpkg -l shim-signed grub-efi-amd64-signed - sudo apt update && sudo apt reinstall shim-signed grub-efi-amd64-signed - Zweryfikuj, że w NVRAM → db jest certyfikat Microsoft UEFI CA (np. efi-readvar z pakietu efitools). (documentation.ubuntu.com)
5) Co, jeśli nadal nie startuje - Upewnij się, że masz najnowszy BIOS dla Latitude 5550 oraz że „Enable Microsoft UEFI CA” nie przestawiło się na OFF po aktualizacji (zdarzało się to w niektórych pakietach aktualizacji; po prostu sprawdź i ustaw na ON). (reddit.com) - Wykonaj „Reset All Keys” zgodnie z artykułem Dell dla BIOS Type 1, po czym wyłącz Custom Mode; ponownie ustaw „Enable Microsoft UEFI CA: ON” i tryb Deployed. (dell.com)
6) Kontekst: zmiana certyfikatów Microsoft 2011 → 2023 - Microsoft i OEM‑y od 2025/2026 migrują z „Microsoft Corporation UEFI CA 2011” na nowe certyfikaty 2023 (osobno dla bootloaderów i Option ROM). Do czasu pełnej migracji 2011 CA pozostaje wspierany, ale urządzenia muszą otrzymać aktualizacje firmware/DB. Dla Ciebie oznacza to tyle: trzymaj „Enable Microsoft UEFI CA” włączone i aktualizuj BIOS – zapewni to zgodność zarówno z obecnym, jak i nowym łańcuchem zaufania. (support.microsoft.com)
---
Dlaczego poprzednia instrukcja Dell „Update Secure Boot Active DB” nie pomogła Ta procedura jedynie odświeża aktywną bazę (db/dbx) do wartości fabrycznych/zalecanych. Nie zmienia stanu przełącznika „Enable Microsoft UEFI CA”. Jeśli ten przełącznik pozostaje OFF, 3rd‑party CA jest usunięty z db i Ubuntu nadal nie przechodzi weryfikacji w trybie Deployed. (dell.com)
---
Szybka checklista - [ ] BIOS → Enable Secure Boot = ON - [ ] BIOS → Enable Microsoft UEFI CA = ON (nie „Allow Pre‑boot Modules only”) - [ ] Secure Boot Mode = Deployed - [ ] Boot Sequence „Ubuntu” → \EFI\ubuntu\shimx64.efi - [ ] BIOS zaktualizowany do najnowszej wersji - [ ] (opcjonalnie) Reinstall: shim‑signed, grub‑efi‑amd64‑signed (dell.com)
---
Pytania kontrolne do Ciebie 1) Potwierdź, proszę: po włączeniu „Enable Microsoft UEFI CA” w Twoim Latitude 5550 Linux startuje w Deployed? 2) Jaka jest wersja BIOS (System Information w BIOS)? 3) Jeśli nie ruszy: wklej wynik efibootmgr -v oraz mokutil --sb-state uruchomione w trybie Audit.
Chętnie doprecyzuję kolejne kroki po Twojej odpowiedzi.
Możesz mnie wywołać w każdym temacie pisząc @ElektrodaBot. Zastrzeżenie: Niektóre odpowiedzi udzielone przez ElektrodaBota mogą być niedokładne. Elektroda nie ponosi odpowiedzialności za dokładność, rzetelność ani kompletność prezentowanych informacji. Wszystkie odpowiedzi ElektrodaBota powinny być zweryfikowane przez użytkownika. OpenAI może monitorować i zapisywać informacje wprowadzane po wywołaniu ElektrodaBota.
Super, że działa! Potwierdzam: przyczyną była wyłączona opcja „Enable Microsoft UEFI CA”. Jej włączenie przywróciło w db zaufany certyfikat Microsoft 3rd‑party UEFI CA, którym podpisany jest shimx64.efi, więc Secure Boot w trybie Deployed akceptuje teraz Lubuntu 24.04.
Co warto zrobić/monitorować na przyszłość - Aktualizacje BIOS: po większych update’ach sprawdź, czy „Enable Microsoft UEFI CA” nadal jest ON. Zdarza się, że ustawienia SB wracają do domyślnych. - Ścieżka rozruchu: w Boot Sequence wpis „Ubuntu” powinien wskazywać na \EFI\ubuntu\shimx64.efi (nie bezpośrednio na grubx64.efi). - Weryfikacja z systemu: - mokutil --sb-state (powinno pokazać SecureBoot enabled) - efibootmgr -v (kontrola ścieżki do shimx64.efi) - Sterowniki własnościowe/moduły jądra (np. NVIDIA, VirtualBox): z włączonym Secure Boot mogą wymagać rejestracji MOK. To normalne – wybierasz „Enroll MOK” po restarcie i zatwierdzasz ustalone wcześniej hasło. - BitLocker/TPM przy dual‑boocie: po zmianach w Secure Boot Windows może jednorazowo poprosić o klucz odzyskiwania – miej go pod ręką. - Custom Mode: pozostaw wyłączony. Nie ma potrzeby ręcznie edytować PK/KEK/db/dbx; do własnych modułów używaj MOK, nie bazy UEFI. - Opcja „Allow pre‑boot modules only” (jeśli występuje): nie używaj jej – potrafi blokować loadera Linuxa w Deployed.
Dla porządku – szybka checklista - Secure Boot = ON, Secure Boot Mode = Deployed - Enable Microsoft UEFI CA = ON - Wpis „Ubuntu” → \EFI\ubuntu\shimx64.efi - BIOS aktualny
Jeśli chcesz, mogę rozpisać krótką procedurę MOK dla konkretnych sterowników lub pomóc dobrać najnowszy BIOS pod Twój service tag. Możesz też oznaczyć wątek jako rozwiązany, żeby inni łatwo trafili na przyczynę.
Możesz mnie wywołać w każdym temacie pisząc @ElektrodaBot. Zastrzeżenie: Niektóre odpowiedzi udzielone przez ElektrodaBota mogą być niedokładne. Elektroda nie ponosi odpowiedzialności za dokładność, rzetelność ani kompletność prezentowanych informacji. Wszystkie odpowiedzi ElektrodaBota powinny być zweryfikowane przez użytkownika. OpenAI może monitorować i zapisywać informacje wprowadzane po wywołaniu ElektrodaBota.
