Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

3.8. Enregistrement de la clé publique sur le système cible en ajoutant la clé publique à la liste MOK

download PDF

Vous devez enregistrer votre clé publique sur tous les systèmes où vous souhaitez authentifier et charger votre noyau ou vos modules de noyau. Vous pouvez importer la clé publique sur un système cible de différentes manières afin que le trousseau de clés de la plate-forme (.platform) puisse utiliser la clé publique pour authentifier le noyau ou les modules du noyau.

Lorsque RHEL 9 démarre sur un système basé sur l'UEFI avec Secure Boot activé, le noyau charge sur le trousseau de la plate-forme (.platform) toutes les clés publiques qui se trouvent dans la base de données de clés Secure Boot db. En même temps, le noyau exclut les clés de la base de données dbx des clés révoquées.

Vous pouvez utiliser la fonction de facilité de la clé du propriétaire de la machine (MOK) pour étendre la base de données de clés de l'UEFI Secure Boot. Lorsque RHEL 9 démarre sur un système UEFI avec Secure Boot activé, les clés de la liste MOK sont également ajoutées au trousseau de clés de la plate-forme (.platform) en plus des clés de la base de données de clés. Les clés de la liste MOK sont également stockées de manière persistante et sécurisée de la même manière que les clés de la base de données Secure Boot, mais il s'agit de deux installations distinctes. La fonction MOK est prise en charge par shim, MokManager, GRUB et l'utilitaire mokutil.

Note

Pour faciliter l'authentification de votre module de noyau sur vos systèmes, envisagez de demander à votre fournisseur de système d'incorporer votre clé publique dans la base de données de clés UEFI Secure Boot dans leur image de micrologiciel d'usine.

Conditions préalables

Procédure

  1. Exportez votre clé publique vers le fichier sb_cert.cer: 

    # certutil -d /etc/pki/pesign \
           -n 'Custom Secure Boot key' \
           -Lr \
           > sb_cert.cer

  2. Importez votre clé publique dans la liste MOK : 

    # mokutil --import sb_cert.cer
  3. Saisissez un nouveau mot de passe pour cette demande d'inscription au MOK.

  4. Redémarrer la machine.

    Le chargeur de démarrage shim remarque la demande d'enrôlement de la clé MOK en attente et lance MokManager.efi pour vous permettre de terminer l'enrôlement à partir de la console UEFI.

  5. Choisissez Enroll MOK, saisissez le mot de passe que vous avez précédemment associé à cette demande lorsque vous y êtes invité et confirmez l'inscription.

    Votre clé publique est ajoutée à la liste MOK, qui est persistante.

    Une fois qu'une clé figure sur la liste MOK, elle est automatiquement propagée dans le trousseau .platform lors de ce démarrage et des suivants lorsque l'UEFI Secure Boot est activé.

Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.