3.12.3.2. Añadir manualmente la clave pública a la lista MOK
La función de la llave del propietario de la máquina (MOK) se puede utilizar para ampliar la base de datos de claves de arranque seguro de UEFI. Cuando RHEL 8 arranca en un sistema habilitado para UEFI con Secure Boot activado, las claves de la lista MOK también se añaden al llavero del sistema (.builtin_trusted_keys
) además de las claves de la base de datos de claves. Las claves de la lista MOK también se almacenan de forma persistente y segura de la misma manera que las claves de la base de datos de Secure Boot, pero se trata de dos instalaciones distintas. La facilidad MOK es soportada por shim.efi
, MokManager.efi
, grubx64.efi
, y la utilidad mokutil
.
La inscripción de una clave MOK requiere la interacción manual de un usuario en la consola del sistema UEFI en cada sistema de destino. Sin embargo, la instalación MOK proporciona un método conveniente para probar los pares de claves recién generados y probar los módulos del kernel firmados con ellos.
Procedimiento
Solicite la adición de su clave pública a la lista MOK:
# mokutil --import my_signing_key_pub.der
Se le pedirá que introduzca y confirme una contraseña para esta solicitud de inscripción en el MOK.
Reinicie la máquina.
La solicitud de inscripción de clave MOK pendiente será notada por
shim.efi
y lanzaráMokManager.efi
para permitirle completar la inscripción desde la consola UEFI.Introduzca la contraseña que ha asociado previamente a esta solicitud y confirme la inscripción.
Su clave pública se añade a la lista MOK, que es persistente.
Una vez que una clave está en la lista MOK, se propagará automáticamente al llavero del sistema en este y en los siguientes arranques cuando el arranque seguro UEFI esté habilitado.