Come posso compilare e firmare Grub in un modo che consentirà Secure Boot?

4

Poiché il file .efi di Grub2 compilato da me stesso non ha attraversato la firma del codice (come il certificato di firma del codice EV), e ora il mio programma (file .efi) non può avviare i computer che hanno abilitato Avvio protetto!

La mia domanda è che il certificato di firma del codice EV può risolvere questo problema? Ci sono altre soluzioni per risolvere questo problema?

    
posta Wolhok Duane 10.10.2014 - 07:34

1 risposta

1

Genera una nuova chiave rsa e una coppia di certificati con openssl :

openssl req -new -x509 -sha256 -newkey rsa:<BITS> 
            -keyout <PRIVATE_KEY_PATH> 
            -outform PEM 
            -out <CRT_CERTIFICATE_PATH>


Quindi usa sbsign (o il file di segno all'interno di linux-headers in /usr/src ):

sbsign --key <PRIVATE_KEY> --cert <CRT_CERTIFICATE>
       --output <SIGNED_GRUB_PATH>
       <UNSIGNED_GRUB_PATH>


Genera il certificato DER e importalo nel firmware:

openssl x509 -in <CRT_CERTIFICATE_PATH>
             -outform DER
             -out <DER_CERTIFICATE_PATH>

sudo mokutil --import <DER_CERTIFICATE_PATH>
    
risposta data JumpAlways 22.01.2017 - 15:38

Leggi altre domande sui tag