Secure Boot em Linux no Asus ExpertBook P5 5405

O Problema

Certos portáteis ASUS, incluindo a série ExpertBook P5 (P5405/V5405), não incluem os certificados Microsoft necessários para que o Linux arranque com Secure Boot ativado. Isto cria problemas de compatibilidade para utilizadores de Linux que pretendem manter a segurança total no arranque.

A Solução

Este guia fornece um método para ativar o Secure Boot nestes portáteis através da instalação manual dos certificados necessários.

Certificados Necessários

Vais precisar de dois certificados Microsoft UEFI CA:

1. Microsoft UEFI CA 2011 (suporte legacy)
2. Microsoft UEFI CA 2023 (atual)

Ambos os certificados garantem compatibilidade abrangente com bootloaders como shimx64.efi e grubx64.efi.

Guia Passo a Passo

1. Descarregar Certificados

Primeiro, descarrega ambos os certificados Microsoft UEFI CA das fontes oficiais da Microsoft ou repositórios de certificados confiáveis. Podes descarregá-los aqui:

• Microsoft_UEFI_CA_2011.crt
• microsoft_uefi_ca_2023.crt

2.a) Exportar para o Formato Correto

Usando Windows (ou ferramentas apropriadas), exporta os certificados para:

• Formato: Encoded Binary DER X.509 (.CER)

Este formato é necessário para o processo de importação.

2.b) ou Descarrega-os já Convertidos

Alternativamente, podes descarregá-los já convertidos:

• Microsoft_UEFI_CA_2011.cer
• microsoft_uefi_ca_2023.cer

3. Instalar Certificados

Usa o mokutil para importar os certificados no teu sistema:

sudo mokutil --import Microsoft_UEFI_CA_2011.cer
sudo mokutil --import Microsoft_UEFI_CA_2023.cer

Será pedido que cries uma palavra-passe temporária para cada certificado. Memoriza estas palavras-passe para o próximo passo.

4. Reiniciar e Registar

1. Reinicia o teu sistema
2. Ativa o Secure Boot nas definições BIOS/UEFI
3. O MOK Manager aparecerá no arranque
4. Seleciona “Enroll MOK”
5. Introduz as palavras-passe temporárias que criaste
6. Confirma o registo dos certificados

5. Verificação

Após completar o registo:

• O teu sistema deve arrancar normalmente com Secure Boot ativado
• Todos os bootloaders assinados serão reconhecidos
• A segurança total no arranque está agora ativa

O Que Isto Consegue

Este método proporciona:

• ✅ Segurança total no arranque com Secure Boot ativado
• ✅ Compatibilidade com todos os bootloaders Linux assinados
• ✅ Suporte para certificados legacy e atuais
• ✅ Sem compromissos na segurança

Contexto Técnico

Porque é Isto Necessário

Os portáteis ASUS ExpertBook P5 são enviados sem os certificados Microsoft com que os bootloaders Linux são assinados. Ao instalar manualmente estes certificados na base de dados Machine Owner Key (MOK), informamos o firmware para confiar nestas assinaturas.

Certificados Explicados

• Microsoft UEFI CA 2011: Certificado legacy, ainda usado por muitos bootloaders
• Microsoft UEFI CA 2023: Certificado atual para binários assinados mais recentes

Instalar ambos garante compatibilidade máxima entre diferentes distribuições Linux e versões de bootloader.

Notas Importantes

Considerações de Segurança

• Instala apenas certificados de fontes confiáveis
• Verifica as impressões digitais dos certificados quando possível
• Este método mantém a segurança enquanto ativa a compatibilidade com Linux

Abordagens Alternativas

Se este método não funcionar para ti, alternativas incluem:

• Desativar o Secure Boot (menos seguro)
• Usar uma distribuição com tratamento de certificados integrado
• Contactar a ASUS para atualizações de firmware

Conclusão

Este guia permite aos utilizadores do ASUS ExpertBook P5 executar Linux com suporte completo de Secure Boot, mantendo a segurança enquanto garante compatibilidade. O processo é direto e fornece uma solução permanente para o problema dos certificados.

---

Testado em: ASUS ExpertBook P5 5405 Distribuições Linux: Ubuntu 24.04. Última Atualização: Novembro 2025

🐧🔒