Red Hat Training
A Red Hat training course is available for RHEL 8
3.12.3.2. Acrescentar manualmente a chave pública à lista MOK
O recurso de chave do proprietário da máquina (MOK) pode ser usado para expandir o banco de dados de chaves de Boot Seguro da UEFI. Quando a RHEL 8 inicializa um sistema UEFI com boot seguro ativado, as chaves da lista MOK também são adicionadas ao chaveiro do sistema (.builtin_trusted_keys
), além das chaves do banco de dados de chaves. As chaves da lista MOK também são armazenadas de forma persistente e segura da mesma forma que as chaves do banco de dados do Secure Boot, mas estas são duas facilidades separadas. A instalação MOK é suportada por shim.efi
, MokManager.efi
, grubx64.efi
, e pelo utilitário mokutil
.
A inscrição de uma chave MOK requer a interação manual de um usuário no console do sistema UEFI em cada sistema alvo. Entretanto, a instalação MOK fornece um método conveniente para testar os pares de chaves recém-gerados e testar os módulos do kernel assinados com eles.
Procedimento
Solicite a adição de sua chave pública à lista MOK:
# mokutil --import my_signing_key_pub.der
Você será solicitado a entrar e confirmar uma senha para este pedido de inscrição MOK.
Reinicialize a máquina.
O pedido de inscrição da chave MOK pendente será notado por
shim.efi
e será lançadoMokManager.efi
para permitir que você complete a inscrição a partir do console UEFI.Digite a senha que você associou anteriormente a esta solicitação e confirme a matrícula.
Sua chave pública é adicionada à lista MOK, que é persistente.
Assim que uma chave estiver na lista MOK, ela será automaticamente propagada para o chaveiro do sistema neste e nas botas subseqüentes quando a UEFI Secure Boot estiver habilitada.