Thêm chứng chỉ X.509 vào cơ sở dữ liệu khởi động an toàn UEFI?

7

Gần đây tôi đã cài đặt Fedora 20 trên máy tính để bàn tùy chỉnh với bo mạch chủ ASUS Z87-K. Do một số lỗi thường được biết đến, tôi đã cài đặt trình điều khiển độc quyền NVIDIA cho GeForce 630 của mình và vô hiệu hóa trình điều khiển nouveau.

Sau khi hoàn thành cài đặt trình điều khiển chính xác, trong đó mô-đun được ký với cặp khóa mới được tạo, chứng chỉ x.509 đã được tạo và tự động đặt vào

/usr/share/nvidia/certificate.der.

Tuy nhiên, từ thời điểm đó, máy tính không thể khởi động với tùy chọn khởi động an toàn UEFI được bật. Khi chuyển sang textmode và chạy nvidia-modprobe, Tôi thấy rằng mô-đun độc quyền của NVIDIA không được tải.

Khi tôi tắt Secure Boot trong menu UEFI, máy tính sẽ khởi động và chạy trơn tru với trình điều khiển được cài đặt.

Để tránh nhược điểm của việc khởi động ở chế độ không an toàn, tôi muốn biết nơi đặt chứng chỉ x.509 của mô-đun NVIDIA để hạt nhân được nhận dạng để tôi không phải tắt Khởi động an toàn.

uefi  nvidia-geforce  secure-boot  fedora-20 
zml
nguồn

Câu trả lời:

1

Bạn sẽ có thể tải chứng chỉ bằng cách sử dụng MokManager.efi để nó được Shim nhận ra, và do đó được nhân chấp nhận. Tôi không biết nếu Fedora thiết lập GRUB của mình để bạn có thể khởi chạy MokManager.efi bản thân bạn. Nếu không, hãy thử khởi động (đã tắt Secure Boot) một ổ flash USB có vỏ EFI hoặc rEFInd. Sau đó bạn có thể khởi chạy MokManager.efi và tải tập tin chứng chỉ. (Nó sẽ cần được lưu trữ trên cùng một đĩa với MokManager.efi tiện ích - có lẽ /boot/efi từ bên trong Fedora.)

Tôi khá chắc chắn rằng có một cách để thêm chứng chỉ vào NVRAM từ bên trong Linux để Shim sẽ chú ý đến nó và hỏi liệu nó có nên được sử dụng vào lần tới khi bạn khởi động lại không, nhưng tôi không biết chính xác nó là gì. Có lẽ nó sẽ liên quan đến việc ghi tập tin vào một nơi nào đó trong /sys/firmware/efi cây thư mục.

Điều đó nói rằng, tôi chưa bao giờ phải tự làm điều cụ thể này, vì tôi không sử dụng trình điều khiển video độc quyền trên bất kỳ máy tính nào của mình. Có thể hiểu được có một số bước bổ sung bạn sẽ cần phải thực hiện.

Rod Smith
nguồn
Hóa ra bạn có thể sử dụng mokutil trong dòng lệnh.
Fabián Heredia Montiel
0

Bạn sẽ muốn sử dụng mokutil để đăng ký khóa. 

sudo mokutil --import <der file>

Bạn có thể kiểm tra nếu một khóa được đăng ký với 

mokutil --test-key <der file>
Fabián Heredia Montiel
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.