19.8. MOK 목록에 공개 키를 추가하여 대상 시스템에 공개 키 등록
커널 또는 커널 모듈을 인증하고 로드하려는 모든 시스템에 공개 키를 등록해야 합니다. 플랫폼 키링(.platform)이 공개 키를 사용하여 커널 또는 커널 모듈을 인증할 수 있도록 대상 시스템의 공개 키를 다양한 방법으로 가져올 수 있습니다.
RHEL 9가 Secure Boot가 활성화된 UEFI 기반 시스템에서 부팅되면 커널은 Secure Boot db 키 데이터베이스에 있는 플랫폼 키링(.platform)에 로드됩니다. 동시에 커널은 취소된 키의 dbx 데이터베이스에서 키를 제외합니다.
MOK(Machine Owner Key) 기능 기능을 사용하여 UEFI Secure Boot 키 데이터베이스를 확장할 수 있습니다. Secure Boot가 활성화된 UEFI 지원 시스템에서 RHEL 9가 부팅되면 키 데이터베이스의 키 외에 MOK 목록의 키도 플랫폼 인증 키링(.platform)에 추가됩니다. MOK 목록 키도 지속적으로 저장되고 안전하게 Secure Boot 데이터베이스 키와 동일한 방식으로 저장되지만 이는 두 가지 개별 기능입니다. MOK 기능은 shim,MokManager,GRUB 및 mokutil 유틸리티에서 지원됩니다.
시스템에서 커널 모듈을 쉽게 인증하려면 시스템 공급 업체에 공개 키를 팩토리 펌웨어 이미지의 UEFI Secure Boot 키 데이터베이스에 통합하는 것이 좋습니다.
사전 요구 사항
- 공개 키 및 개인 키 쌍을 생성하고 공개 키의 유효 날짜를 알고 있습니다. 자세한 내용은 공개 및 개인 키 쌍 생성을 참조하십시오.
절차
공개 키를
sb_cert.cer파일로 내보냅니다.# certutil -d /etc/pki/pesign \ -n 'Custom Secure Boot key' \ -Lr \ > sb_cert.cer
공개 키를 MOK 목록으로 가져옵니다.
# mokutil --import sb_cert.cer- 이 MOK 등록 요청에 대한 새 암호를 입력합니다.
시스템을 재부팅합니다.
shim부트 로더는 보류 중인 MOK 키 등록 요청을 통지하고MokManager.efi를 시작하여 UEFI 콘솔의 등록을 완료할 수 있습니다.Enroll MOK를 선택하고, 메시지가 표시되면 이 요청과 관련된 암호를 입력하고 등록을 확인합니다.공개 키는 지속적인 MOK 목록에 추가됩니다.
키가 MOK 목록에 있으면 이 키로 자동으로
.platform키링으로 전파되고 UEFI Secure Boot가 활성화되면 후속 부팅이 수행됩니다.
