Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第22章 セキュアブート用のカーネルとモジュールの署名

署名付きカーネルとモジュールを使用することで、システムセキュリティーを強化できます。セキュアブートに対応した UEFI システムでは、カスタムカーネルビルドやカーネルモジュールに自己署名を行い、公開鍵を対象システムにインポートすることができます。セキュアブートでは、ブートローダー、カーネル、およびすべてのカーネルモジュールに署名することで、ブートプロセスの成功を保証する必要があります。

RHEL 9 には以下が含まれます。

  • 署名済みブートローダー
  • 署名済みカーネル
  • 署名済みカーネルモジュール

さらに、署名済みの第 1 ステージのブートローダーと署名済みカーネルには、Red Hat 公開鍵が組み込まれています。これらの署名済みの実行可能バイナリーと組み込まれた鍵により、RHEL 9 は Microsoft UEFI セキュアブート認証局の鍵を使用してインストール、起動、実行できるようになります。これらの鍵は、UEFI セキュアブートをサポートするシステムの UEFI ファームウェアによって提供されます。

注記
  • セキュアブートのサポートは、すべての UEFI ベースのシステムに含まれるわけではありません。
  • カーネルモジュールを構築、署名するビルドシステムは、UEFI セキュアブートを有効にする必要がなく、UEFI ベースのシステムである必要すらありません。

22.1. 前提条件
リンクのコピー

  • 外部でビルドされたカーネルモジュールに署名できるようにするには、次のパッケージからユーティリティーをインストールします。 

    # dnf install pesign openssl kernel-devel mokutil keyutils
    Expand
    表22.1 必要なユーティリティー
    ユーティリティー提供するパッケージ使用対象目的

    efikeygen

    pesign

    ビルドシステム

    公開および秘密 X.509 鍵のペアを生成

    openssl

    openssl

    ビルドシステム

    暗号化されていない秘密鍵をエクスポートします。

    sign-file

    kernel-devel

    ビルドシステム

    秘密鍵でカーネルモジュールに署名するために使用する実行ファイル

    mokutil

    mokutil

    ターゲットシステム

    公開鍵を手動で登録する際に使用するオプションのユーティリティー

    keyctl

    keyutils

    ターゲットシステム

    システムキーリングへの公開鍵の表示時に使用するオプションのユーティリティー

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

Legal Notice

Theme

© 2026 Red Hatトップに戻る