5.9. UEFI セキュアブートによるベータリリースの使用

注記

本セクションでは、Red Hat Enterprise Linux 7 のベータリリースについてのみ 説明します。
UEFI セキュアブートのテクノロジーでは、オペレーティングシステムのカーネルが起動可能となるには、認識済みの秘密鍵で署名されている必要があります。Red Hat Enterprise Linux 7 のベータリリースではすべて、カーネルは Red Hat Beta 固有の秘密鍵で署名されています。これはベータ以外の一般公開リリースのカーネル署名に使用されている一般的な Red Hat 鍵とは異なるものです。
ベータの秘密鍵はハードウェアが認識しない可能性が高いので、Red Hat Enterprise Linux 7 のベータリリースが起動できないことになります。UEFI セキュアブートを有効にしてベータリリースを使用するには、Machine Owner Key (MOK) 機能を使用してシステムに Red Hat ベータ公開鍵を追加する必要があります。
Red Hat ベータの鍵は以下の手順でシステムに追加します。

手順5.1 UEFI セキュアブート向けのカスタム秘密鍵の追加

  1. まず、システム上で UEFI セキュアブートを無効し、通常通りに Red Hat Enterprise Linux 7 をインストールします。セキュアブートが有効になっていると、インストールを進めることができません。
  2. インストールが完了したら、システムを再起動します。セキュアブートはこの時点ではまだ無効にしていてください。システムを再起動してログインし、29章初期設定 (Initial Setup) にある初期設定画面に入ります。
  3. 端末を開き、root でログインした後、以下のコマンドを実行します。
    # mokutil --import /lib/modules/$(uname -r)/kernel-signing-ca.cer
    プロンプトが出たら、好きなパスワードを入力します。

    注記

    パスワードは忘れないようにしてください。この手順の完了に必要となる上、インポートされた鍵が不要になった場合に、その削除に必要となります。
  4. システムを再起動し、UEFI セキュアブートを有効にしてから起動プロセスを続けます。システムが開始する前に、保留となっていた鍵の登録リクエストを完了させるかどうか聞かれます。yes を選択し、mokutil コマンドを使って先に設定したパスワードを入力します。
この手順が完了すると、Red Hat ベータ鍵がシステムに追加されます。これ以降に Red Hat Enterprise Linux 7 ベータをインストールしても、この鍵を手動で削除している場合を除いては、同じ手順を実行する必要はありません

警告

インポートしたベータ公開鍵が不要になったら、これを削除します。
最新 (一般公開) リリースの Red Hat Enterprise Linux 7 または異なるオペレーティングシステムをインストールする場合は、インポートした鍵を削除してください。この公開鍵をインポートした だけ の場合は、以下のコマンドで MOK をリセットできます。
# mokutil --reset
次回再起動の後、鍵のインポート時に作成したパスワードの確認を求められます。正しいパスワードを入力すると MOK から鍵が削除され、システムは元の状態に復元されます。