问如何向包含可信密钥列表的内核数据库列表中添加密钥对(公共和私有)

EN

我在这里找到了解决办法。

https://access.redhat.com/documentation/en-US/Red_帽子_企业_Linux/7/html/System_管理员_Guide/sect-signing-kernel-modules-for-secure-boot.html

如果创建了密钥对，那么：

(该指令是针对RedHat的，但在Lubuntu上工作得很好，而且很可能也适用于Ubuntu )

Machine (MOK)工具是7支持的特性，可用于增强UEFI安全启动密钥数据库。当7在启用了安全启动的UEFI系统上启动时，除了密钥数据库中的密钥之外，还会将MOK列表上的键添加到系统密钥环中。MOK列表密钥也以与安全启动密钥数据库密钥相同的方式持久和安全地存储，但它们是两个独立的工具。MOK工具由shim.efi、MokManager.efi、grubx64.efi和RedHatEnterpriseLinux7mokutil实用工具支持。

MOK工具提供的主要功能是将公钥添加到MOK列表中，而不需要将密钥链返回到KEK数据库中的另一个密钥。但是，在每个目标系统上，在UEFI系统控制台上注册MOK键需要物理上的用户进行手动交互。尽管如此，MOK工具为测试新生成的密钥对和测试与它们签名的内核模块提供了一个很好的方法。

按照以下步骤将您的公钥添加到MOK列表中：

1. 使用RedHatEnterpriseLinux7用户空间实用程序请求将公钥添加到MOK列表：~]# mokutil --import my_signing_key_pub.der

您将被要求输入并确认此MOK注册请求的密码。

1. 重新启动机器。
2. shim.efi将注意到挂起的MOK键注册请求，它将启动MokManager.efi以允许您从UEFI控制台完成注册。您需要输入以前与此请求关联的密码并确认注册。您的公钥将添加到MOK列表中，该列表是持久的。

一旦一个密钥在MOK列表上，当启用UEFI安全引导时，它将自动传播到系统密钥环和随后的引导。