Menu Close
Settings Close

Language and Page Formatting Options

Red Hat Training

A Red Hat training course is available for RHEL 8

3.4. 公钥的源

在引导过程中,内核会从一组持久性密钥中加载 X.509 密钥到以下密钥环中:

  • 系统密钥环 (.builtin_trusted_keys)
  • .platform 密钥环
  • 系统 .blacklist 密钥环

表 3.3. 系统密钥环源

X.509 密钥源用户可以添加密钥UEFI 安全引导状态引导过程中载入的密钥

嵌入于内核中

-

.builtin_trusted_keys

UEFI 安全引导 "db"

有限

未启用

Enabled

.platform

嵌入在 shim.efi 引导装载程序

未启用

Enabled

.builtin_trusted_keys

Machine Owner Key(MOK)列表

未启用

Enabled

.platform

.builtin_trusted_keys

  • 在引导时构建的密钥环
  • 包含可信公钥
  • 查看密钥需要 root 权限

.platform

  • 在引导时构建的密钥环
  • 包含第三方平台供应商和自定义公钥的密钥
  • 查看密钥需要 root 权限

.blacklist

  • 使用 X.509 密钥的密钥环,该密钥已被撤销
  • 使用来自 .blacklist 的密钥签名的模块将会验证失败,即使您的公共密钥已在 .builtin_trusted_keys 中。

UEFI 安全引导数据库:

  • 签名数据库
  • 存储 UEFI 应用程序、UEFI 驱动程序和引导装载程序的密钥(哈希值)
  • 密钥可加载到机器上

UEFI 安全引导 dbx:

  • 已撤销的签名数据库
  • 防止加载密钥
  • 从此数据库撤销的密钥添加到 .blacklist 密钥环中