3.9. Signer un noyau avec la clé privée

Conditions préalables

• Vous avez généré une paire de clés publique et privée et vous connaissez les dates de validité de vos clés publiques. Pour plus d'informations, voir Générer une paire de clés publique et privée.
• Vous avez enregistré votre clé publique sur le système cible. Pour plus de détails, voir Enrôler une clé publique sur le système cible en ajoutant la clé publique à la liste MOK.
• Vous disposez d'une image de noyau au format ELF disponible pour la signature.

Procédure

• Sur l'architecture x64 :

  1. Créer une image signée :

     # pesign --certificate 'Custom Secure Boot key' \
              --in vmlinuz-version \
              --sign \
              --out vmlinuz-version.signed

     Remplacez version par le suffixe de version de votre fichier vmlinuz, et Custom Secure Boot key par le nom que vous avez choisi précédemment.

  2. Facultatif : Vérifier les signatures :

     # pesign --show-signature \
              --in vmlinuz-version.signed

  3. Remplacer l'image non signée par l'image signée :

     # mv vmlinuz-version.signed vmlinuz-version

• Sur l'architecture ARM 64 bits :

  1. Décompressez le fichier vmlinuz:

     # zcat vmlinuz-version > vmlinux-version

  2. Créer une image signée :

     # pesign --certificate 'Custom Secure Boot key' \
              --in vmlinux-version \
              --sign \
              --out vmlinux-version.signed

  3. Facultatif : Vérifier les signatures :

     # pesign --show-signature \
              --in vmlinux-version.signed

  4. Compresser le fichier vmlinux:

     # gzip --to-stdout vmlinux-version.signed > vmlinuz-version

  5. Supprimer le fichier non compressé vmlinux:

     # rm vmlinux-version*