Red Hat Training

A Red Hat training course is available for RHEL 8

3.10. 秘密鍵で GRUB ビルドに署名する

UEFI セキュアブート機能が有効になっているシステムでは、カスタムの既存の秘密鍵で GRUB ビルドに署名できます。カスタム GRUB ビルドを使用している場合、またはシステムから Microsoft トラストアンカーを削除した場合は、これを行う必要があります。

注記

カーネルモジュールに署名するだけでよい場合は、このセクションをスキップできます。

前提条件

公開鍵と秘密鍵のペアを生成し、公開鍵の有効期限を知っています。詳細については、公開鍵と秘密鍵のペアの生成を参照してください。
ターゲットシステムに公開鍵を登録しています。詳細については、公開鍵を MOK リストに追加して、ターゲットシステムに公開鍵を登録するを参照してください。
署名に使用できる GRUB EFI バイナリーがあります。

手順

x64 アーキテクチャーの場合:

署名済み GRUB EFI バイナリーを作成します。

# pesign --in /boot/efi/EFI/redhat/grubx64.efi \
         --out /boot/efi/EFI/redhat/grubx64.efi.signed \
         --certificate 'Custom Secure Boot key' \
         --sign

Custom Secure Boot key を以前に選択した名前に置き換えます。

オプション: 署名を確認します。

# pesign --in /boot/efi/EFI/redhat/grubx64.efi.signed \
         --show-signature

署名されていないバイナリーを署名済みバイナリーで上書きします。
```
# mv /boot/efi/EFI/redhat/grubx64.efi.signed \
     /boot/efi/EFI/redhat/grubx64.efi
```

64 ビット ARM アーキテクチャーの場合:

署名済み GRUB EFI バイナリーを作成します。

# pesign --in /boot/efi/EFI/redhat/grubaa64.efi \
         --out /boot/efi/EFI/redhat/grubaa64.efi.signed \
         --certificate 'Custom Secure Boot key' \
         --sign

Custom Secure Boot key を以前に選択した名前に置き換えます。

オプション: 署名を確認します。

# pesign --in /boot/efi/EFI/redhat/grubaa64.efi.signed \
         --show-signature

署名されていないバイナリーを署名済みバイナリーで上書きします。

# mv /boot/efi/EFI/redhat/grubaa64.efi.signed \
     /boot/efi/EFI/redhat/grubaa64.efi

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

Runtimes

Integration and Automation

Red Hat Training

3.10. 秘密鍵で GRUB ビルドに署名する

Language and Page Formatting Options

Red Hat Training

3.10. 秘密鍵で GRUB ビルドに署名する