3.8. 公開鍵を MOK リストに追加することでターゲットシステムで公開鍵を登録する手順
カーネルまたはカーネルモジュールへのアクセスのために、システム上で公開鍵を認証し、それをターゲットシステムのプラットフォームキーリング (.platform
) に登録する必要があります。セキュアブートが有効な UEFI ベースのシステムで RHEL 8 を起動すると、カーネルが db
鍵データベースから公開鍵をインポートし、dbx
データベースから失効した鍵を除外します。
Machine Owner Key (MOK) 機能を使用すると、UEFI セキュアブートキーデータベースを拡張できます。セキュアブートが有効な UEFI 対応システムで RHEL 8 を起動すると、セキュアブートデータベースの鍵とともに、MOK リストの鍵がプラットフォームキーリング (.platform
) に追加されます。MOK リストの鍵も、同じ方法でセキュアかつ永続的に保存されますが、これはセキュアブートデータベースとは別の機能です。
MOK 機能は、shim
、MokManager
、GRUB
、および UEFI ベースのシステムでセキュアな鍵管理と認証を可能にする mokutil
ユーティリティーによってサポートされています。
システムでカーネルモジュールの認証サービスを取得するには、ファクトリーファームウェアイメージで公開鍵を UEFI セキュアブート鍵データベースに組み入れるようシステムベンダーに要求することを検討してください。
前提条件
- 公開鍵と秘密鍵のペアを生成し、公開鍵の有効期限を知っています。詳細は、公開鍵と秘密鍵のペアの生成 を参照してください。
手順
公開鍵を
sb_cert.cer
ファイルにエクスポートします。# certutil -d /etc/pki/pesign \ -n 'Custom Secure Boot key' \ -Lr \ > sb_cert.cer
公開鍵を MOK リストにインポートします。
# mokutil --import sb_cert.cer
- この MOK 登録要求の新しいパスワードを入力してください。
マシンを再起動します。
shim
ブートローダーは、保留中の MOK キー登録要求を認識し、MokManager.efi
を起動して、UEFI コンソールから登録を完了できるようにします。Enroll MOK
を選択し、プロンプトが表示されたら、この要求に関連付けたパスワードを入力し、登録を確認します。公開鍵が MOK リストに永続的に追加されます。
キーが MOK リストに追加されると、UEFI セキュアブートが有効になっている場合は、このブートおよび後続のブートで
.platform
キーリングに自動的に伝達されます。