Menu Close

Red Hat Training

A Red Hat training course is available for RHEL 8

4.7. 공개 키를 MOK 목록에 추가하여 대상 시스템에 공개 키 등록

Secure Boot가 활성화된 UEFI 기반 시스템에서 RHEL 8을 부팅하면 커널이 시스템 인증 키(.builtin_trusted_keys)로 로드되며 Secure Boot db 키 데이터베이스에 있는 모든 공개 키입니다. 동시에 커널은 박탈된 키의 dbx 데이터베이스에서 키를 제외합니다. 아래 섹션에서는 시스템 인증 키(.builtin_trusted_keys)가 공개 키를 사용하여 커널 모듈을 인증할 수 있도록 타겟 시스템에서 공개 키를 가져오는 방법에 대해 설명합니다.

MOK(Machine Owner Key) 기능 기능을 사용하여 UEFI Secure Boot 키 데이터베이스를 확장할 수 있습니다. Secure Boot가 활성화된 UEFI 지원 시스템에서 RHEL 8을 부팅하면 키 데이터베이스의 키 외에도 MOK 목록의 키도 시스템 인증 키(.builtin_trusted_keys)에 추가됩니다. MOK 목록 키도 Secure Boot 데이터베이스 키와 동일한 방식으로 영구적으로 안전하게 저장되지만 두 가지 개별 기능입니다. MOK 기능은 shim.efi,MokManager.efi,grubx64.efimokutil 유틸리티에서 지원합니다.

MOK 키를 등록하려면 각 대상 시스템의 UEFI 시스템 콘솔에서 사용자가 수동으로 상호 작용해야 합니다. 그렇지만 MOK 기능은 새로 생성된 키 쌍을 테스트하고 이 모듈과 서명된 커널 모듈을 테스트할 수 있는 편리한 방법을 제공합니다.

절차

  1. MOK 목록에 공개 키 추가를 요청합니다.

    # mokutil --import my_signing_key_pub.der

    MOK 등록 요청의 암호를 입력하고 확인하라는 메시지가 표시됩니다.

  2. 시스템을 재부팅합니다.

    보류중인 MOK 키 등록 요청은 shim.efi 에 의해 감지되고 UEFI 콘솔에서 등록을 완료할 수 있도록 MokManager.efi 가 시작됩니다.

  3. "Enroll MOK"를 선택하고 메시지가 표시되면 이전에 이 요청과 연결된 암호를 입력하고 등록을 확인합니다.

    공개 키는 영구 MOK 목록에 추가됩니다.

MOK 목록에 키가 있으면 자동으로 이 인증 키에서 시스템 인증 키로 전파되고 UEFI Secure Boot가 활성화되면 이후 부팅됩니다.

참고

시스템에서 커널 모듈 인증을 용이하게 하려면 시스템 벤더에서 공개 키를 팩토리 펌웨어 이미지에 UEFI Secure Boot 키 데이터베이스에 통합하도록 요청하는 것을 고려하십시오.