我正在尝试使用自定义密钥设置安全启动,如下所示来自 rodsbooks 的指南sbverify。我创建并注册了 db、KEK 和 PK 的密钥,并相应地签署了 grub 和内核映像(使用相同的 db 密钥),并且可以根据创建的 db 密钥验证签名。
如果我打开安全启动,它将无法验证内核映像的签名:
“/boot/vmlinuz... 具有无效签名”
我目前发现的是:
- grub 的签名正在工作。如果我删除它,我会得到一个不同的错误(红色框)
- 对 grub 和内核映像使用不同的密钥会得到相同的结果(我还希望使用相同的密钥也可以)
sbsign使用或对内核进行签名osslsigncode(例如这个问题)没有区别,结果相同bootctl状态仅显示 grub 作为引导加载程序- 我没有更改内核映像的名称。我预计 grub 中不需要进行任何更改
- MokManager(即 mmx64.efi)存在(但这里应该没什么区别?)
内核是版本 4.19.0-6;发行版是 Debian 10(如果这很重要的话)。