Red Hat Training

A Red Hat training course is available for RHEL 8

3.6. 공개 및 개인 키 쌍 생성

Secure Boot 지원 시스템에서 사용자 지정 커널 또는 사용자 지정 커널 모듈을 사용하려면 공개 및 개인 X.509 키 쌍을 생성해야 합니다. 생성된 개인 키를 사용하여 커널 또는 커널 모듈에 서명할 수 있습니다. Secure Boot의 MOK(Machine Owner Key)에 해당 공개 키를 추가하여 서명된 커널 또는 커널 모듈을 검증할 수도 있습니다.

주의

강력한 보안 조치 및 액세스 정책을 적용하여 개인 키의 내용을 보호합니다. 잘못된 경우 키를 사용하여 해당 공개 키로 인증된 시스템을 손상시킬 수 있습니다.

절차

  • X.509 공개 및 개인 키 쌍을 생성합니다.

    • 사용자 정의 커널 모듈 만 서명하려는 경우 : 

      # efikeygen --dbdir /etc/pki/pesign \
            --self-sign \
            --module \
            --common-name 'CN=Organization signing key' \
            --nickname 'Custom Secure Boot key'

    • 사용자 정의 커널에 서명하려면 다음을 수행합니다. 

      # efikeygen --dbdir /etc/pki/pesign \
            --self-sign \
            --kernel \
            --common-name 'CN=Organization signing key' \
            --nickname 'Custom Secure Boot key'

    • RHEL 시스템이 FIPS 모드를 실행하는 경우: 

      # efikeygen --dbdir /etc/pki/pesign \
            --self-sign \
            --kernel \
            --common-name 'CN=Organization signing key' \
            --nickname 'Custom Secure Boot key'
            --token 'NSS FIPS 140-2 Certificate DB'
      참고

      FIPS 모드에서는 efikeygen 이 PKI 데이터베이스에서 기본 "NSS Certificate DB" 토큰을 찾도록 --token 옵션을 사용해야 합니다.

      공개 키와 개인 키는 이제 /etc/pki/pesign/ 디렉토리에 저장됩니다.

중요

서명 키의 유효 기간 내에 커널 및 커널 모듈에 서명하는 것이 좋습니다. 그러나 서명 파일 유틸리티는 경고하지 않으며 유효 날짜에 관계없이 RHEL 8에서 키를 사용할 수 있습니다.

추가 리소스