5.10. UEFI セキュアブートを使用したシステムの起動
オペレーティングシステムのセキュリティーを強化するには、UEFI セキュアブートが有効になっているシステムで Red Hat Enterprise Linux リリースを起動したときに、署名の検証に UEFI セキュアブート機能を使用します。
5.10.1. UEFI セキュアブートおよび RHEL リリース
UEFI セキュアブートでは、オペレーティングシステムカーネルが、認識された秘密キーで署名されている必要があります。UEFI セキュアブートは、対応する公開キーを使用して署名を検証します。
Machine Owner Key (MOK) 機能を使用して、カスタムキーをシステムに追加できます。
5.10.2. UEFI セキュアブート用のカスタム公開キーの追加
UEFI セキュアブート用の既存のカスタム公開鍵を追加できます。
前提条件
- システムで UEFI セキュアブートが無効になっている。
- システムにログインし、Initial Setup ウィンドウのタスクを完了した。
手順
- 公開鍵を生成し、ローカルドライブに保存します(例: my_signing_key_pub.der)。
システムの MOK (Machine Owner Key) リストに Red Hat カスタム公開鍵を登録します。
# mokutil --import my_signing_key_pub.der
- プロンプトが表示されたらパスワードを入力します。
- システムを再起動し、任意のキーを押して起動を続行します。Shim UEFI キー管理ユーティリティーは、システム起動時に起動します。
- Enroll MOK を選択します。
- Continue を選択します。
Yes を選択し、パスワードを入力します。
この鍵はシステムのファームウェアにインポートされます。
- Reboot を選択します。
- システムでセキュアブートを有効にします。
5.10.3. カスタム公開鍵の削除
この手順では、カスタム公開鍵を削除する方法を説明します。
手順
システムの MOK (Machine Owner Key) リストから Red Hat カスタム公開鍵を削除します。
#
mokutil --reset- プロンプトが表示されたらパスワードを入力します。
- システムを再起動し、任意のキーを押して起動を続行します。Shim UEFI キー管理ユーティリティーは、システム起動時に起動します。
-
Reset MOK
を選択します。 -
Continue
を選択します。 -
Yes
を選択し、手順 2 で指定したパスワードを入力します。この鍵はシステムのファームウェアから削除されます。 -
Reboot
を選択します。