UEFI सुरक्षित बूट डेटाबेस में X.509 प्रमाणपत्र जोड़ना?

मैंने हाल ही में ASUS Z87-K मदरबोर्ड के साथ कस्टम डेस्कटॉप पीसी पर फेडोरा 20 स्थापित किया है। कुछ सामान्य रूप से ज्ञात बगों को देखते हुए, मैंने अपने GeForce 630 के लिए NVIDIA मालिकाना ड्राइवर स्थापित किया है, और नोव्यू ड्राइवर को अक्षम कर दिया है।

ड्राइवर स्थापना को सही ढंग से पूरा करने के बाद, जिसके दौरान मॉड्यूल को एक नई उत्पन्न कुंजी जोड़ी के साथ हस्ताक्षरित किया गया था, एक x.509 प्रमाण पत्र बनाया गया था और स्वचालित रूप से इसमें रखा गया था

/usr/share/nvidia/certificate.der।

हालाँकि, उस क्षण से, कंप्यूटर UEFI सुरक्षित बूट विकल्प के साथ बूट करने में असमर्थ है। जब टेक्स्टमोड और स्विचिंग पर स्विच किया जाता है nvidia-modprobe, मुझे लगता है कि NVIDIA मालिकाना मॉड्यूल लोड नहीं किया गया था।

जब मैं यूईएफआई मेनू में सिक्योर बूट को अक्षम करता हूं तो कंप्यूटर बूट होता है और इंस्टॉल किए गए ड्राइवर के साथ आसानी से चलता है।

असुरक्षित मोड में बूटिंग की खामी से बचने के लिए, मैं यह जानना चाहूंगा कि कहां पर NVIDIA मॉड्यूल के x.509 प्रमाण पत्र को रखना है ताकि इसे कर्नेल द्वारा पहचाना जा सके इसलिए मुझे सुरक्षित बूट बंद करने की आवश्यकता नहीं है।

आपको प्रमाण पत्र का उपयोग करने में सक्षम होना चाहिए MokManager.efi ताकि यह शिम द्वारा मान्यता प्राप्त है, और इसलिए कर्नेल द्वारा स्वीकार किया जाता है। मुझे नहीं पता कि फेडोरा अपना ग्रुब सेट करता है ताकि आप लॉन्च कर सकें MokManager.efi स्वयं। यदि नहीं, तो बूट करने की कोशिश करें (सिक्योर बूट डिसेबल के साथ) एक ईएफआई शेल या के साथ एक यूएसबी फ्लैश ड्राइव refind। फिर आपको लॉन्च करने में सक्षम होना चाहिए MokManager.efi और प्रमाणपत्र फ़ाइल लोड करें। (इसे उसी डिस्क पर संग्रहीत करने की आवश्यकता होगी जो के रूप में है MokManager.efi उपयोगिता - शायद /boot/efi फेडोरा के भीतर से।)

मुझे पूरा यकीन है कि लिनक्स के भीतर से NVRAM में प्रमाणपत्र जोड़ने का एक तरीका है ताकि शिम इसे नोटिस करे और पूछे कि क्या इसे अगली बार आपके द्वारा रीबूट करने के लिए उपयोग किया जाना चाहिए, लेकिन मुझे ठीक से पता नहीं है कि यह क्या है। संभवत: इसमें कहीं न कहीं फाइल लिखना शामिल होगा /sys/firmware/efi निर्देशिका पेड़।

उस ने कहा, मुझे यह विशिष्ट काम खुद कभी नहीं करना पड़ा, क्योंकि मैं अपने किसी भी कंप्यूटर पर मालिकाना वीडियो ड्राइवरों का उपयोग नहीं करता हूं। यह कयास है कि आपको कुछ अतिरिक्त कदम उठाने होंगे।

आप कुंजी को नामांकित करने के लिए मोकुटिल का उपयोग करना चाहेंगे।

sudo mokutil --import <der file>

यदि कुंजी के साथ नामांकित है तो आप परीक्षण कर सकते हैं

mokutil --test-key <der file>