5.9. UEFI セキュアブートによるベータリリースの使用

注記

本セクションでは、Red Hat Enterprise Linux 7 のベータリリースについてのみ 説明します。
UEFI セキュアブートのテクノロジーでは、オペレーティングシステムのカーネルが起動可能となるには、認識済みの秘密鍵で署名されている必要があります。Red Hat Enterprise Linux 7 のベータリリースではすべて、カーネルは Red Hat Beta 固有の秘密鍵で署名されています。これはベータ以外の一般公開リリースのカーネル署名に使用されている一般的な Red Hat 鍵とは異なるものです。
ベータの秘密鍵はハードウェアが認識しない可能性が高いので、Red Hat Enterprise Linux 7 のベータリリースが起動できないことになります。UEFI セキュアブートを有効にしてベータリリースを使用するには、Machine Owner Key (MOK) 機能を使用してシステムに Red Hat ベータ公開鍵を追加する必要があります。
Red Hat ベータの鍵は以下の手順でシステムに追加します。

手順5.1 UEFI セキュアブート向けのカスタム秘密鍵を追加する

  1. まず、システム上で UEFI セキュアブートを無効し、通常どおりに Red Hat Enterprise Linux 7 をインストールします。
  2. インストールが完了したら、システムを再起動します。セキュアブートはこの時点ではまだ無効にしていてください。システムを再起動してログインし、「30章初期設定 (Initial Setup)」にある初期設定画面に入ります。
  3. 初回の起動が完了し初期設定を行った後に、kernel-doc パッケージをインストールします (まだインストールされていない場合)。
    # yum install kernel-doc
    このパッケージにより、Red Hat CA ベータ公開鍵を含む証明書ファイルが提供されます。ファイルは /usr/share/doc/kernel-keys/kernel-version/kernel-signing-ca.cer に保存されます。ここで、kernel-version はプラットフォームアーキテクチャーの接尾辞を省いたカーネルバージョンの文字列です (例: 3.10.0-686.el7)。
  4. 以下のコマンドを実行し、公開鍵をシステムの Machine Owner Key (MOK) リストに登録します。
    # kr=$(uname -r)
    # mokutil --import /usr/share/doc/kernel-keys/${kr%.$(uname -p)}/kernel-signing-ca.cer
    プロンプトが出たら、好きなパスワードを入力します。

    注記

    パスワードは忘れないようにしてください。この手順の完了に必要となる上、インポートされた鍵が不要になった場合に、その削除に必要となります。
  5. もう一度システムを再起動します。スタートアップ中に、保留となっていた鍵の登録リクエストを完了させるかどうか聞かれます。yes を選択し、前のステップで mokutil コマンドを使って設定したパスワードを入力します。パスワードを入力するとシステムがもう一度再起動し、鍵がシステムのファームウェアにインポートされます。この再起動またはこれ以降の再起動時に、セキュアブートを有効にすることができます。

警告

インポートしたベータ公開鍵が不要になったら、これを削除します。
最新 (一般公開) リリースの Red Hat Enterprise Linux 7 または異なるオペレーティングシステムをインストールする場合は、インポートした鍵を削除してください。この公開鍵をインポートした だけ の場合は、以下のコマンドで MOK をリセットできます。
# mokutil --reset
次回の再起動後に、ファームウェアにより削除の確認および鍵のインポート時に作成したパスワードが求められます。正しいパスワードを入力すると MOK から鍵が削除され、システムは元の状態に復元されます。