主页
产品
Red Hat Enterprise Linux
10
Managing monitoring and updating the kernel
23.10. 使用私钥签名 GRUB 构建

23.10. 使用私钥签名 GRUB 构建

要在 UEFI 安全引导系统上使用自定义 GRUB 构建，请使用私钥对其进行签名。这是自定义构建所必需的，或者删除了 Microsoft 信任锚。

先决条件

您已生成了一个公钥和私钥对，并了解公钥的有效日期。详情请参阅生成公钥和私钥对。
您已在目标系统上注册了公钥。详情请查看在 MOK 列表中添加公钥在目标系统中注册公钥。
您有一个可用于签名的 GRUB EFI 二进制文件。

流程

在 x64 构架上：

创建一个签名的 GRUB EFI 二进制文件：

# pesign --in /boot/efi/EFI/redhat/grubx64.efi \
         --out /boot/efi/EFI/redhat/grubx64.efi.signed \
         --certificate 'Custom Secure Boot key' \
         --sign

将 Custom Secure Boot key 替换为您之前选择的名称。

可选：检查签名：

# pesign --in /boot/efi/EFI/redhat/grubx64.efi.signed \
         --show-signature

使用签名的二进制文件覆盖未签名的二进制文件：
```
# mv /boot/efi/EFI/redhat/grubx64.efi.signed \
     /boot/efi/EFI/redhat/grubx64.efi
```
警告
当覆盖 grub 二进制文件时，您的系统可能无法正常引导，您可能需要从系统镜像重新安装 grub。

在 64 位 ARM 架构中：

创建一个签名的 GRUB EFI 二进制文件：

# pesign --in /boot/efi/EFI/redhat/grubaa64.efi \
         --out /boot/efi/EFI/redhat/grubaa64.efi.signed \
         --certificate 'Custom Secure Boot key' \
         --sign

将 Custom Secure Boot key 替换为您之前选择的名称。

可选：检查签名：

# pesign --in /boot/efi/EFI/redhat/grubaa64.efi.signed \
         --show-signature

使用签名的二进制文件覆盖未签名的二进制文件：

# mv /boot/efi/EFI/redhat/grubaa64.efi.signed \
     /boot/efi/EFI/redhat/grubaa64.efi

23.10. 使用私钥签名 GRUB 构建

学习

尝试、购买和销售

社区

關於紅帽

让开源更具包容性

关于红帽文档

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links