Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

3.7. 公開鍵を MOK リストに追加することでターゲットシステムで公開鍵を登録する手順

セキュアブートが有効になっている UEFI ベースのシステムで RHEL 8 を起動すると、カーネルは、セキュアブート db の鍵データベースにある公開鍵をすべてシステムキーリング (.builtin_trusted_keys) に読み込みます。同時に、カーネルは、失効した鍵の dbx データベースにある鍵を除外します。以下のセクションでは、システムキーリング (.builtin_trusted_keys) が公開鍵を使用してカーネルモジュールを認証できるように、ターゲットシステムで公開鍵をインポートする方法を説明します。

Machine Owner Key (MOK) 機能を使用して、UEFI セキュアブートキーデータベースを拡張することができます。セキュアブートが有効な UEFI 対応システムで RHEL 8 を起動すると、鍵データベースの鍵に加えて、MOK の一覧の鍵もシステムキーリング (.builtin_trusted_keys) に追加されます。MOK リストの鍵は、セキュアブートデータベースの鍵と同様に永続的かつ安全な方法で保存されますが、これらは別個の機能です。MOK 機能は、shim.efiMokManager.efigrubx64.efi および mokutil ユーティリティーでサポートされています。

MOK 鍵の登録は、各ターゲットシステムの UEFI システムコンソールでユーザーが物理的に手動で対応する必要があります。それにもかかわらず、MOK 機能は、新規生成された鍵ペアのテストとこれで署名されたカーネルモジュールのテストにおいて便利な方法を提供します。

手順

  1. 公開鍵を MOK リストに追加するようリクエストします。

    # mokutil --import my_signing_key_pub.der

    この MOK 登録リクエストに関するパスワードの入力と確認が求められます。

  2. マシンを再起動します。

    この MOK 鍵登録リクエストは shim.efi が発見し、MokManager.efi を起動して UEFI コンソールからの登録が完了できるようになります。

  3. MOK の登録を選択し、登録を求められたら、この要求に以前関連付けたパスワードを入力します。

    公開鍵が MOK リストに永続的に追加されます。

鍵が MOK リストに追加されると、UEFI セキュアブートが有効な場合にこの鍵がシステムのキーリングに自動的に伝播され、その後のブートが可能になります。

注記

システムでカーネルモジュールの認証を実現するために、ファクトリーファームウェアイメージで公開鍵を UEFI セキュアブート鍵データベースに組み入れるようシステムベンダーに要求することを検討します。