Red Hat Summit Red Hat Summitサポートコンソール開発者トライアルの開始お問い合わせ

第21章 セキュアブート用のカーネルとモジュールの署名

署名済みカーネルと署名済みカーネルモジュールを使用して、システムのセキュリティーを強化できます。セキュアブートが有効になっている UEFI ベースのビルドシステムでは、プライベートにビルドされたカーネルまたはカーネルモジュールに自己署名できます。さらに、カーネルまたはカーネルモジュールをデプロイするターゲットシステムに公開鍵をインポートすることもできます。

セキュアブートが有効な場合、次のすべてのコンポーネントを秘密鍵で署名し、対応する公開鍵で認証する必要があります。

  • UEFI オペレーティングシステムのブートローダー
  • Red Hat Enterprise Linux カーネル
  • すべてのカーネルモジュール

これらのコンポーネントのいずれかが署名および認証されていない場合、システムは起動プロセスを完了できません。

RHEL 9 には以下が含まれます。

  • 署名済みブートローダー
  • 署名済みカーネル
  • 署名済みカーネルモジュール

さらに、署名済みの第 1 ステージのブートローダーと署名済みカーネルには、Red Hat 公開鍵が組み込まれています。これらの署名済みの実行可能バイナリーと組み込まれた鍵により、RHEL 9 は Microsoft UEFI セキュアブート認証局の鍵を使用してインストール、起動、実行できるようになります。これらの鍵は、UEFI セキュアブートをサポートするシステムの UEFI ファームウェアによって提供されます。

注記
  • セキュアブートのサポートは、すべての UEFI ベースのシステムに含まれるわけではありません。
  • カーネルモジュールを構築、署名するビルドシステムは、UEFI セキュアブートを有効にする必要がなく、UEFI ベースのシステムである必要すらありません。

21.1. 前提条件
リンクのコピー

  • 外部でビルドされたカーネルモジュールに署名できるようにするには、次のパッケージからユーティリティーをインストールします。 

    # dnf install pesign openssl kernel-devel mokutil keyutils
    Copy to Clipboard Toggle word wrap
    Expand
    表21.1 必要なユーティリティー
    ユーティリティー提供するパッケージ使用対象目的

    efikeygen

    pesign

    ビルドシステム

    公開および秘密 X.509 鍵のペアを生成

    openssl

    openssl

    ビルドシステム

    暗号化されていない秘密鍵をエクスポートします。

    sign-file

    kernel-devel

    ビルドシステム

    秘密鍵でカーネルモジュールに署名するために使用する実行ファイル

    mokutil

    mokutil

    ターゲットシステム

    公開鍵を手動で登録する際に使用するオプションのユーティリティー

    keyctl

    keyutils

    ターゲットシステム

    システムキーリングへの公開鍵の表示時に使用するオプションのユーティリティー

Red Hat logoGithubredditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。 最新の更新を見る.

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

Theme

© 2026 Red Hatトップに戻る