3.10. Signer un build GRUB avec la clé privée
Sur un système où le mécanisme de démarrage sécurisé UEFI est activé, vous pouvez signer une version GRUB avec une clé privée personnalisée existante. Vous devez procéder ainsi si vous utilisez une version personnalisée de GRUB ou si vous avez supprimé l'ancre de confiance Microsoft de votre système.
Conditions préalables
- Vous avez généré une paire de clés publique et privée et vous connaissez les dates de validité de vos clés publiques. Pour plus d'informations, voir Générer une paire de clés publique et privée.
- Vous avez enregistré votre clé publique sur le système cible. Pour plus de détails, voir Enrôler une clé publique sur le système cible en ajoutant la clé publique à la liste MOK.
- Vous disposez d'un binaire GRUB EFI à signer.
Procédure
Sur l'architecture x64 :
Créer un binaire EFI GRUB signé :
# pesign --in /boot/efi/EFI/redhat/grubx64.efi \ --out /boot/efi/EFI/redhat/grubx64.efi.signed \ --certificate 'Custom Secure Boot key' \ --sign
Remplacez
Custom Secure Boot key
par le nom que vous avez choisi précédemment.Facultatif : Vérifier les signatures :
# pesign --in /boot/efi/EFI/redhat/grubx64.efi.signed \ --show-signature
Remplacer le binaire non signé par le binaire signé :
# mv /boot/efi/EFI/redhat/grubx64.efi.signed \ /boot/efi/EFI/redhat/grubx64.efi
Sur l'architecture ARM 64 bits :
Créer un binaire EFI GRUB signé :
# pesign --in /boot/efi/EFI/redhat/grubaa64.efi \ --out /boot/efi/EFI/redhat/grubaa64.efi.signed \ --certificate 'Custom Secure Boot key' \ --sign
Remplacez
Custom Secure Boot key
par le nom que vous avez choisi précédemment.Facultatif : Vérifier les signatures :
# pesign --in /boot/efi/EFI/redhat/grubaa64.efi.signed \ --show-signature
Remplacer le binaire non signé par le binaire signé :
# mv /boot/efi/EFI/redhat/grubaa64.efi.signed \ /boot/efi/EFI/redhat/grubaa64.efi