3.6. 공개 및 개인 키 쌍 생성
Secure Boot 지원 시스템에서 사용자 지정 커널 또는 사용자 지정 커널 모듈을 사용하려면 공개 및 개인 X.509 키 쌍을 생성해야 합니다. 생성된 개인 키를 사용하여 커널 또는 커널 모듈에 서명할 수 있습니다. Secure Boot의 MOK(Machine Owner Key)에 해당 공개 키를 추가하여 서명된 커널 또는 커널 모듈을 검증할 수도 있습니다.
강력한 보안 조치 및 액세스 정책을 적용하여 개인 키의 내용을 보호합니다. 잘못된 경우 키를 사용하여 해당 공개 키로 인증된 시스템을 손상시킬 수 있습니다.
절차
X.509 공개 및 개인 키 쌍을 생성합니다.
사용자 정의 커널 모듈 만 서명하려는 경우 :
# efikeygen --dbdir /etc/pki/pesign \ --self-sign \ --module \ --common-name 'CN=Organization signing key' \ --nickname 'Custom Secure Boot key'
사용자 정의 커널에 서명하려면 다음을 수행합니다.
# efikeygen --dbdir /etc/pki/pesign \ --self-sign \ --kernel \ --common-name 'CN=Organization signing key' \ --nickname 'Custom Secure Boot key'
RHEL 시스템이 FIPS 모드를 실행하는 경우:
# efikeygen --dbdir /etc/pki/pesign \ --self-sign \ --kernel \ --common-name 'CN=Organization signing key' \ --nickname 'Custom Secure Boot key' --token 'NSS FIPS 140-2 Certificate DB'
참고FIPS 모드에서는
efikeygen
이 PKI 데이터베이스에서 기본 "NSS Certificate DB" 토큰을 찾도록--token
옵션을 사용해야 합니다.공개 키와 개인 키는 이제
/etc/pki/pesign/
디렉토리에 저장됩니다.
서명 키의 유효 기간 내에 커널 및 커널 모듈에 서명하는 것이 좋습니다. 그러나 서명 파일
유틸리티는 경고하지 않으며 유효 날짜에 관계없이 RHEL 8에서 키를 사용할 수 있습니다.
추가 리소스
-
OpenSSL(1)
매뉴얼 페이지 - RHEL 보안 가이드
- MOK 목록에 공개 키를 추가하여 대상 시스템에서 공개 키 등록