3.8. 공개 키를 MOK 목록에 추가하여 대상 시스템에 공개 키 등록
커널 또는 커널 모듈을 인증하고 로드하려는 모든 시스템에 공개 키를 등록해야 합니다. 플랫폼 키링(.platform
)이 공개 키를 사용하여 커널 또는 커널 모듈을 인증할 수 있도록 대상 시스템의 공개 키를 다양한 방법으로 가져올 수 있습니다.
RHEL 8이 Secure Boot가 활성화된 UEFI 기반 시스템에서 부팅되면 커널은 Secure Boot db
키 데이터베이스에 있는 플랫폼 키링(.platform
)에 로드됩니다. 동시에 커널은 취소된 키의 dbx
데이터베이스에서 키를 제외합니다.
MOK(Machine Owner Key) 기능 기능을 사용하여 UEFI Secure Boot 키 데이터베이스를 확장할 수 있습니다. RHEL 8이 Secure Boot가 활성화된 UEFI 지원 시스템에서 부팅되면 키 데이터베이스의 키 외에 MOK 목록의 키도 플랫폼 인증 키링(.platform
)에 추가됩니다. MOK 목록 키도 Secure Boot 데이터베이스 키와 동일한 방식으로 영구적으로 안전하게 저장되지만 두 가지 개별 기능입니다. MOK 기능은 shim
,MokManager
,GRUB
및 mokutil
유틸리티에서 지원됩니다.
시스템에서 커널 모듈 인증을 용이하게 하려면 시스템 벤더에서 공개 키를 팩토리 펌웨어 이미지에 UEFI Secure Boot 키 데이터베이스에 통합하도록 요청하는 것을 고려하십시오.
사전 요구 사항
- 공개 키 및 개인 키 쌍을 생성하고 공개 키의 유효 날짜를 알고 있습니다. 자세한 내용은 공개 및 개인 키 쌍 생성을 참조하십시오.
절차
공개 키를
sb_cert.cer
파일로 내보냅니다.# certutil -d /etc/pki/pesign \ -n 'Custom Secure Boot key' \ -Lr \ > sb_cert.cer
공개 키를 MOK 목록으로 가져옵니다.
# mokutil --import sb_cert.cer
- 이 MOK 등록 요청에 대한 새 암호를 입력합니다.
시스템을 재부팅합니다.
shim
부트 로더는 보류 중인 MOK 키 등록 요청을 통지하고MokManager.efi
를 시작하여 UEFI 콘솔의 등록을 완료할 수 있습니다.Enroll MOK
를 선택하고, 메시지가 표시되면 이 요청과 관련된 암호를 입력하고 등록을 확인합니다.공개 키는 영구 MOK 목록에 추가됩니다.
키가 MOK 목록에 있으면 이 키로 자동으로
.platform
키링으로 전파되고 UEFI Secure Boot가 활성화되면 후속 부팅이 수행됩니다.