5.9. 使用带有 UEFI 安全引导的 Beta 版本
注意
本节 只关注 Red Hat Enterprise Linuxnbsp 的 Beta 版本 ;Hat Enterprise Linuxnbsp;Linux 7。
UEFI 安全引导技术要求操作系统内核必须使用识别的私钥进行签名才能引导。在 Red Hat Enterprise Linuxnbsp 的每个测试版本中,只适用于 Red Hat Enterprise Linuxnbsp;Linux 7。内核使用特定于红帽 Beta 的私钥签名,它与在通用可用性(非Beta)发行本中用于内核的更多红帽密钥不同。
测试私钥可能不受您的硬件的认可,这意味着任何 Red Hat Enterprise Linuxnbsp 的 Beta 版本都会获得 Red Hat Enterprise Linuxnbsp 的测试版本 ;Linux 7 将无法引导。要使用启用了 UEFI 安全引导机制的 Beta 版本,您需要使用 Machine Owner Key (MOK)功能将红帽 Beta 公钥添加到您的系统中。
在您的系统中添加红帽 Beta 密钥的步骤如下所示。
过程 5.1. 为 UEFI 安全引导添加自定义私钥
- 首先,禁用系统中的 UEFI 安全引导,并安装 Red Hat Enterprise Linuxnbsp;Hat Enterprise Red Hat Enterprise Linuxnbsp;Linux 7 通常.
- 安装完成后,系统将重启。此时,安全引导仍应禁用。重启系统,登录,如果适用,请进入 Initial Setup 屏幕,如 第 30 章 初始设置 所述。
- 完成第一次引导并完成 Initial Setup 后,如果尚未安装,请安装 kernel-doc 软件包:
#
yum install kernel-doc此软件包提供了一个包含 Red Hat CA 公共 Beta 密钥的证书文件,它位于/usr/share/doc/kernel-keys/kernel-version/kernel-signing-ca.cer
中,其中 kernel-version 是不含平台架构后缀的内核版本字符串 - 例如3.10.0-686.el7
。 - 执行以下命令将公钥注册到系统 Machine Owner Key(MOK)列表中:
#
kr=$(uname -r)#
mokutil --import /usr/share/doc/kernel-keys/${kr%.$(uname -p)}/kernel-signing-ca.cer在提示时输入您选择的密码。注意确保记住密码。需要完成此步骤,并在不再需要时删除导入的密钥。 - 再次重新引导系统。在启动过程中,系统将提示您确认您要完成待处理的密钥注册请求。选择"是",然后在上一步中使用他们ok util 命令提供您之前设置的密码。执行此操作后,系统将再次重新启动,密钥将导入到系统固件中。您可以打开此或后续重启的安全引导。
警告
删除导入的 Beta 公钥(当您不再需要该公钥)。
如果您安装 Red Hat Enterprise Linuxnbsp 的最终发行(正式发布)版本 ;Hat Enterprise Linuxnbsp;Linux 7 或者安装其他操作系统时,您应该删除导入的密钥。如果您 只 导入这个公钥,您可以使用以下命令重置 MOK:
#
mokutil --reset
下次重启后,固件将提示您输入确认以及您在导入密钥时创建的密码。提供正确的密码后,密钥将从 MOK 中删除,系统将恢复到其原始状态。