Red Hat Training

A Red Hat training course is available for RHEL 8

第42章 UEFI セキュアブートを使用したベータシステムの起動

本章では、UEFI セキュアブートが有効になっているシステムで Red Hat Enterprise Linux ベータ版リリースを起動する手順を説明します。

42.1. UEFI セキュアブートおよび RHEL ベータ版リリース

UEFI セキュアブートでは、オペレーティングシステムカーネルが、認識された秘密キーで署名されている必要があります。UEFI セキュアブートは、対応する公開キーを使用して署名を検証します。

Red Hat Enterprise Linux 8 のベータリリースの場合には、カーネルは Red Hat ベータ固有の秘密鍵で署名されます。UEFI セキュアブートは、対応する公開鍵を使用して署名を検証しようとしますが、このハードウェアはベータ版の秘密鍵を認識しないため、Red Hat Enterprise Linux ベータ版のリリースシステムは起動に失敗します。そのため、ベータリリースで UEFI セキュアブートを使用するには、MOK (Machine Owner Key) 機能を使用して Red Hat ベータ公開キーをシステムに追加します。

42.2. UEFI セキュアブートのベータ公開鍵の追加

このセクションでは、UEFI セキュアブート用に Red Hat Enterprise Linux ベータ版の公開鍵を追加する方法を説明します。

前提条件

  • システムで UEFI セキュアブートが無効になっている。
  • Red Hat Enterprise Linux ベータ版リリースがインストールされており、システムの再起動もセキュアブートが無効になっている。
  • システムにログインし、初期セットアップ 画面でタスクを完了します。

手順

  1. システムの Machine Owner Key (MOK) 一覧に Red Hat ベータ版の公開鍵の登録を開始します。

    # kr=$(uname -r)
    # mokutil --import /usr/share/doc/kernel-keys/${kr%}/kernel-signing-ca.cer

    /${kr%} は文字列に置き換えられます (例: 4.18.0-80.el8.x86_64)。

  2. プロンプトが表示されたらパスワードを入力します。
  3. システムを再起動し、任意のキーを押して起動を続行します。Shim UEFI キー管理ユーティリティーは、システム起動時に起動します。
  4. Enroll MOK を選択します。
  5. Continue を選択します。
  6. Yes を選択し、パスワードを入力します。この鍵はシステムのファームウェアにインポートされます。
  7. Reboot を選択します。
  8. システムでセキュアブートを有効にします。

42.3. ベータ版公開鍵の削除

Red Hat Enterprise Linux ベータ版リリースを削除し、Red Hat Enterprise Linux General Availability (GA) リリースをインストールするか、別のオペレーティングシステムをインストールする予定の場合は、ベータ版の公開鍵を削除します。

この手順では、ベータ版の公開鍵を削除する方法を説明します。

手順

  1. システムの Machine Owner Key (MOK) 一覧から Red Hat ベータ版の公開鍵の削除を開始します。

    # mokutil --reset
  2. プロンプトが表示されたらパスワードを入力します。
  3. システムを再起動し、任意のキーを押して起動を続行します。Shim UEFI キー管理ユーティリティーは、システム起動時に起動します。
  4. Reset MOK を選択します。
  5. Continue を選択します。
  6. Yes を選択し、手順 2 で指定したパスワードを入力します。この鍵はシステムのファームウェアから削除されます。
  7. Reboot を選択します。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。