5.10. Démarrer un système avec UEFI Secure Boot

Pour renforcer la sécurité de votre système d'exploitation, utilisez la fonctionnalité UEFI Secure Boot pour la vérification de la signature lors du démarrage d'une version de Red Hat Enterprise Linux sur des systèmes pour lesquels UEFI Secure Boot est activé.

5.10.1. UEFI Secure Boot et versions RHEL

UEFI Secure Boot exige que le noyau du système d'exploitation soit signé avec une clé privée reconnue. UEFI Secure Boot vérifie ensuite la signature à l'aide de la clé publique correspondante.

Une clé personnalisée peut être ajoutée au système à l'aide de la fonction MOK (Machine Owner Key).

5.10.2. Ajout d'une clé publique personnalisée pour UEFI Secure Boot

Cette section explique comment ajouter une clé publique personnalisée existante pour UEFI Secure Boot.

Conditions préalables

  • Vous avez désactivé l'option UEFI Secure Boot sur le système.
  • Vous êtes connecté au système et vous avez effectué les tâches dans la fenêtre Initial Setup.

Procédure

  1. Générez une clé publique et stockez-la sur un disque local. Par exemple, my_signing_key_pub.der.

  2. Inscrivez la clé publique personnalisée de Red Hat dans la liste Machine Owner Key (MOK) du système : 

    # mokutil --import my_signing_key_pub.der
  3. Saisissez un mot de passe lorsque vous y êtes invité.
  4. Redémarrez le système et appuyez sur n'importe quelle touche pour poursuivre le démarrage. L'utilitaire de gestion des clés UEFI de Shim démarre au cours du démarrage du système.
  5. Sélectionnez Enroll MOK.
  6. Sélectionnez Continue.

  7. Sélectionnez Yes et saisissez le mot de passe.

    La clé est importée dans le micrologiciel du système.

  8. Sélectionnez Reboot.
  9. Activer le démarrage sécurisé sur le système.

Ressources supplémentaires

5.10.3. Suppression d'une clé publique personnalisée

La procédure décrit comment supprimer une clé publique personnalisée.

Procédure

  1. Supprimez la clé publique personnalisée de Red Hat de la liste Machine Owner Key (MOK) du système : 

    # mokutil --reset
  2. Saisissez un mot de passe lorsque vous y êtes invité.
  3. Redémarrez le système et appuyez sur n'importe quelle touche pour poursuivre le démarrage. L'utilitaire de gestion des clés UEFI de Shim démarre au cours du démarrage du système.
  4. Sélectionnez Reset MOK.
  5. Sélectionnez Continue.
  6. Sélectionnez Yes et entrez le mot de passe que vous avez spécifié à l'étape 2. La clé est supprimée du micrologiciel du système.
  7. Sélectionnez Reboot.