5.10. UEFI セキュアブートを使用したシステムの起動

オペレーティングシステムのセキュリティーを強化するには、UEFI セキュアブートが有効になっているシステムで Red Hat Enterprise Linux リリースを起動したときに、署名の検証に UEFI セキュアブート機能を使用します。

5.10.1. UEFI セキュアブートおよび RHEL リリース

UEFI セキュアブートでは、オペレーティングシステムカーネルが、認識された秘密キーで署名されている必要があります。UEFI セキュアブートは、対応する公開キーを使用して署名を検証します。

Machine Owner Key (MOK) 機能を使用して、カスタムキーをシステムに追加できます。

5.10.2. UEFI セキュアブート用のカスタム公開キーの追加

本セクションでは、UEFI セキュアブート用に既存のカスタム公開鍵を追加する方法を説明します。

前提条件

  • システムで UEFI セキュアブートが無効になっている。
  • システムにログインし、Initial Setup ウィンドウのタスクを完了した。

手順

  1. 公開鍵を生成し、ローカルドライブに保存します(例: my_signing_key_pub.der)。

  2. システムの MOK (Machine Owner Key) リストに Red Hat カスタム公開鍵を登録します。 

    # mokutil --import my_signing_key_pub.der
  3. プロンプトが表示されたらパスワードを入力します。
  4. システムを再起動し、任意のキーを押して起動を続行します。Shim UEFI キー管理ユーティリティーは、システム起動時に起動します。
  5. Enroll MOK を選択します。
  6. Continue を選択します。

  7. Yes を選択し、パスワードを入力します。

    この鍵はシステムのファームウェアにインポートされます。

  8. Reboot を選択します。
  9. システムでセキュアブートを有効にします。

関連情報

5.10.3. カスタム公開鍵の削除

この手順では、カスタム公開鍵を削除する方法を説明します。

手順

  1. システムの MOK (Machine Owner Key) リストから Red Hat カスタム公開鍵を削除します。 

    # mokutil --reset
  2. プロンプトが表示されたらパスワードを入力します。
  3. システムを再起動し、任意のキーを押して起動を続行します。Shim UEFI キー管理ユーティリティーは、システム起動時に起動します。
  4. Reset MOK を選択します。
  5. Continue を選択します。
  6. Yes を選択し、手順 2 で指定したパスワードを入力します。この鍵はシステムのファームウェアから削除されます。
  7. Reboot を選択します。