5.9. UEFI セキュアブートによるベータリリースの使用
注記
本セクションでは、Red Hat Enterprise Linux 7 のベータリリースについてのみ 説明します。
UEFI セキュアブートのテクノロジーでは、オペレーティングシステムのカーネルが起動可能となるには、認識済みの秘密鍵で署名されている必要があります。Red Hat Enterprise Linux 7 のベータリリースではすべて、カーネルは Red Hat Beta 固有の秘密鍵で署名されています。これはベータ以外の一般公開リリースのカーネル署名に使用されている一般的な Red Hat 鍵とは異なるものです。
ベータの秘密鍵はハードウェアが認識しない可能性が高いので、Red Hat Enterprise Linux 7 のベータリリースが起動できないことになります。UEFI セキュアブートを有効にしてベータリリースを使用するには、Machine Owner Key (MOK) 機能を使用してシステムに Red Hat ベータ公開鍵を追加する必要があります。
Red Hat ベータの鍵は以下の手順でシステムに追加します。
手順5.1 UEFI セキュアブート用のカスタム秘密鍵の追加
- まず、システムで UEFI セキュアブートを無効にし、通常どおりに Red Hat Enterprise Linux 7 をインストールします。
- インストールが完了したら、システムを再起動します。セキュアブートはこの時点ではまだ無効にしていてください。システムを再起動してログインし、該当する場合は 30章初期設定 (Initial Setup) に記載どおりに、初期設定画面に移動します。
- 初回起動が完了して初期設定を行った後に、まだインストールされていない場合は kernel-doc パッケージをインストールします。
#yum install kernel-docこのパッケージは、/usr/share/doc/kernel-keys/ kernel-version /kernel-signing-ca.cerにある Red Hat CA 公開鍵を含む証明書ファイルを提供します。kernel-version は、プラットフォームアーキテクチャーの接尾辞のないカーネルバージョンの文字列です(例:3.10.0-686.el7)。 - 以下のコマンドを実行し、公開鍵をシステムの Machine Owner Key (MOK) リストに登録します。
#kr=$(uname -r)#mokutil --import /usr/share/doc/kernel-keys/${kr%.$(uname -p)}/kernel-signing-ca.cerプロンプトが表示されたら、任意のパスワードを入力します。注記パスワードは忘れないようにしてください。この手順の完了に必要となる上、インポートされた鍵が不要になった場合に、その削除に必要となります。 - もう一度システムを再起動します。起動中に、保留となっていた鍵の登録要求を完了させるかどうか聞かれます。yes を選択し、前の手順で mokutil コマンドを使用して設定したパスワードを入力します。パスワードを入力するとシステムがもう一度再起動し、鍵がシステムのファームウェアにインポートされます。今回の再起動またはこれ以降の再起動時に、セキュアブートを有効にできます。
警告
インポートしたベータ公開鍵が不要になったら、これを削除します。
最新 (一般公開) リリースの Red Hat Enterprise Linux 7 または異なるオペレーティングシステムをインストールする場合は、インポートした鍵を削除してください。この公開鍵をインポートした だけ の場合は、以下のコマンドで MOK をリセットできます。
# mokutil --reset
次回の再起動後に、ファームウェアにより削除の確認および鍵のインポート時に作成したパスワードが求められます。正しいパスワードを入力すると MOK から鍵が削除され、システムは元の状態に復元されます。
