Red Hat Training

A Red Hat training course is available for RHEL 8

3.12.3.2. Acrescentar manualmente a chave pública à lista MOK

O recurso de chave do proprietário da máquina (MOK) pode ser usado para expandir o banco de dados de chaves de Boot Seguro da UEFI. Quando a RHEL 8 inicializa um sistema UEFI com boot seguro ativado, as chaves da lista MOK também são adicionadas ao chaveiro do sistema (.builtin_trusted_keys), além das chaves do banco de dados de chaves. As chaves da lista MOK também são armazenadas de forma persistente e segura da mesma forma que as chaves do banco de dados do Secure Boot, mas estas são duas facilidades separadas. A instalação MOK é suportada por shim.efi, MokManager.efi, grubx64.efi, e pelo utilitário mokutil.

A inscrição de uma chave MOK requer a interação manual de um usuário no console do sistema UEFI em cada sistema alvo. Entretanto, a instalação MOK fornece um método conveniente para testar os pares de chaves recém-gerados e testar os módulos do kernel assinados com eles.

Procedimento

  1. Solicite a adição de sua chave pública à lista MOK: 

    # mokutil --import my_signing_key_pub.der

    Você será solicitado a entrar e confirmar uma senha para este pedido de inscrição MOK.

  2. Reinicialize a máquina.

    O pedido de inscrição da chave MOK pendente será notado por shim.efi e será lançado MokManager.efi para permitir que você complete a inscrição a partir do console UEFI.

  3. Digite a senha que você associou anteriormente a esta solicitação e confirme a matrícula.

    Sua chave pública é adicionada à lista MOK, que é persistente.

Assim que uma chave estiver na lista MOK, ela será automaticamente propagada para o chaveiro do sistema neste e nas botas subseqüentes quando a UEFI Secure Boot estiver habilitada.