3.10. 개인 키를 사용하여 GRUB 빌드 서명
UEFI Secure Boot 메커니즘이 활성화된 시스템에서 사용자 지정 기존 개인 키를 사용하여 GRUB 빌드에 서명할 수 있습니다. 사용자 지정 GRUB 빌드를 사용하거나 시스템에서 Microsoft 신뢰 앵커를 제거한 경우 이 작업을 수행해야 합니다.
사전 요구 사항
- 공개 키 및 개인 키 쌍을 생성하고 공개 키의 유효 날짜를 알고 있습니다. 자세한 내용은 공개 및 개인 키 쌍 생성을 참조하십시오.
- 대상 시스템에 공개 키를 등록했습니다. 자세한 내용은 공개 키를 MOK 목록에 추가하여 대상 시스템에서 공개 키 등록을 참조하십시오.
- 서명할 수 있는 GRUB EFI 바이너리가 있습니다.
절차
x64 아키텍처의 경우:
서명된 GRUB EFI 바이너리를 만듭니다.
# pesign --in /boot/efi/EFI/redhat/grubx64.efi \ --out /boot/efi/EFI/redhat/grubx64.efi.signed \ --certificate 'Custom Secure Boot key' \ --sign
Custom Secure Boot 키
를 이전에 선택한 이름으로 교체합니다.선택 사항: 서명 확인:
# pesign --in /boot/efi/EFI/redhat/grubx64.efi.signed \ --show-signature
서명되지 않은 바이너리를 서명된 바이너리로 덮어씁니다.
# mv /boot/efi/EFI/redhat/grubx64.efi.signed \ /boot/efi/EFI/redhat/grubx64.efi
64비트 ARM 아키텍처에서는 다음을 수행합니다.
서명된 GRUB EFI 바이너리를 만듭니다.
# pesign --in /boot/efi/EFI/redhat/grubaa64.efi \ --out /boot/efi/EFI/redhat/grubaa64.efi.signed \ --certificate 'Custom Secure Boot key' \ --sign
Custom Secure Boot 키
를 이전에 선택한 이름으로 교체합니다.선택 사항: 서명 확인:
# pesign --in /boot/efi/EFI/redhat/grubaa64.efi.signed \ --show-signature
서명되지 않은 바이너리를 서명된 바이너리로 덮어씁니다.
# mv /boot/efi/EFI/redhat/grubaa64.efi.signed \ /boot/efi/EFI/redhat/grubaa64.efi