20.8. 公開鍵を MOK リストに追加することでターゲットシステムで公開鍵を登録する手順
カーネルまたはカーネルモジュールを認証およびロードするすべてのシステムに、公開鍵を登録する必要があります。さまざまな方法でターゲットシステムに公開鍵をインポートして、プラットフォームキーリング (.platform
) が公開鍵を使用してカーネルまたはカーネルモジュールを認証できるようにすることができます。
セキュアブートが有効になっている UEFI ベースのシステムで RHEL 9 が起動すると、カーネルはセキュアブート db
キーデータベースにあるすべての公開鍵をプラットフォームキーリング (.platform
) にロードします。同時に、カーネルは失効したキーの dbx
データベース内のキーを除外します。
Machine Owner Key (MOK) 機能を使用して、UEFI セキュアブートキーデータベースを拡張できます。セキュアブートが有効な UEFI 対応システムで RHEL 9 が起動すると、キーデータベースの鍵に加えて、MOK リストの鍵もプラットフォームキーリング (.platform
) に追加されます。MOK リストの鍵は、セキュアブートデータベースの鍵と同様に永続的かつ安全な方法で保存されますが、これらは別個の機能です。MOK 機能は、shim
、MokManager
、GRUB
、および mokutil
ユーティリティーでサポートされています。
システムでカーネルモジュールの認証を実現するために、ファクトリーファームウェアイメージで公開鍵を UEFI セキュアブート鍵データベースに組み入れるようシステムベンダーに要求することを検討します。
前提条件
- 公開鍵と秘密鍵のペアを生成し、公開鍵の有効期限を知っています。詳細については、公開鍵と秘密鍵のペアの生成 を参照してください。
手順
公開鍵を
sb_cert.cer
ファイルにエクスポートします。# certutil -d /etc/pki/pesign \ -n 'Custom Secure Boot key' \ -Lr \ > sb_cert.cer
公開鍵を MOK リストにインポートします。
# mokutil --import sb_cert.cer
- この MOK 登録要求の新しいパスワードを入力してください。
マシンを再起動します。
shim
ブートローダーは、保留中の MOK キー登録要求を認識し、MokManager.efi
を起動して、UEFI コンソールから登録を完了できるようにします。Enroll MOK
を選択し、プロンプトが表示されたら、この要求に関連付けたパスワードを入力し、登録を確認します。公開鍵が MOK リストに永続的に追加されます。
キーが MOK リストに追加されると、UEFI セキュアブートが有効になっている場合は、このブートおよび後続のブートで
.platform
キーリングに自動的に伝達されます。