ホーム
製品
Red Hat Enterprise Linux
8
カーネルの管理、監視、および更新
3.8. 公開鍵を MOK リストに追加してターゲットシステムに公開鍵を登録する

3.8. 公開鍵を MOK リストに追加してターゲットシステムに公開鍵を登録する

カーネルまたはカーネルモジュールへのアクセスのために、システム上で公開鍵を認証し、それをターゲットシステムのプラットフォームキーリング (.platform) に登録する必要があります。セキュアブートが有効な UEFI ベースのシステムで RHEL 8 を起動すると、カーネルが db 鍵データベースから公開鍵をインポートし、dbx データベースから失効した鍵を除外します。

Machine Owner Key (MOK) 機能を使用すると、UEFI セキュアブートキーデータベースを拡張できます。セキュアブートが有効な UEFI 対応システムで RHEL 8 を起動すると、セキュアブートデータベースの鍵とともに、MOK リストの鍵がプラットフォームキーリング (.platform) に追加されます。MOK リストの鍵も、同じ方法でセキュアかつ永続的に保存されますが、これはセキュアブートデータベースとは別の機能です。

MOK 機能は、shim、MokManager、GRUB、および UEFI ベースのシステムでセキュアな鍵管理と認証を可能にする mokutil ユーティリティーによってサポートされています。

注記

システムでカーネルモジュールの認証サービスを取得するには、ファクトリーファームウェアイメージで公開鍵を UEFI セキュアブート鍵データベースに組み入れるようシステムベンダーに要求することを検討してください。

前提条件

公開鍵と秘密鍵のペアを生成し、公開鍵の有効期限を知っています。詳細は、公開鍵と秘密鍵のペアの生成を参照してください。

手順

公開鍵を sb_cert.cer ファイルにエクスポートします。

certutil -d /etc/pki/pesign \
           -n 'Custom Secure Boot key' \
           -Lr \
           > sb_cert.cer

# certutil -d /etc/pki/pesign \
           -n 'Custom Secure Boot key' \
           -Lr \
           > sb_cert.cer

Copy to Clipboard

Toggle word wrap

公開鍵を MOK リストにインポートします。
```
mokutil --import sb_cert.cer
```
```
# mokutil --import sb_cert.cer
```
Copy to Clipboard Toggle word wrap
この MOK 登録要求の新しいパスワードを入力してください。
マシンを再起動します。
shim ブートローダーは、保留中の MOK キー登録要求を認識し、MokManager.efi を起動して、UEFI コンソールから登録を完了できるようにします。
Enroll MOK を選択し、プロンプトが表示されたら、この要求に関連付けたパスワードを入力し、登録を確認します。
公開鍵が MOK リストに永続的に追加されます。
キーが MOK リストに追加されると、UEFI セキュアブートが有効になっている場合は、このブートおよび後続のブートで .platform キーリングに自動的に伝達されます。

トップに戻る

3.8. 公開鍵を MOK リストに追加してターゲットシステムに公開鍵を登録する

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links