UEFI सुरक्षित बूट डेटाबेस में X.509 प्रमाणपत्र जोड़ना?


7

मैंने हाल ही में ASUS Z87-K मदरबोर्ड के साथ कस्टम डेस्कटॉप पीसी पर फेडोरा 20 स्थापित किया है। कुछ सामान्य रूप से ज्ञात बगों को देखते हुए, मैंने अपने GeForce 630 के लिए NVIDIA मालिकाना ड्राइवर स्थापित किया है, और नोव्यू ड्राइवर को अक्षम कर दिया है।

ड्राइवर स्थापना को सही ढंग से पूरा करने के बाद, जिसके दौरान मॉड्यूल को एक नई उत्पन्न कुंजी जोड़ी के साथ हस्ताक्षरित किया गया था, एक x.509 प्रमाण पत्र बनाया गया था और स्वचालित रूप से इसमें रखा गया था

/usr/share/nvidia/certificate.der

हालाँकि, उस क्षण से, कंप्यूटर UEFI सुरक्षित बूट विकल्प के साथ बूट करने में असमर्थ है। जब टेक्स्टमोड और स्विचिंग पर स्विच किया जाता है nvidia-modprobe, मुझे लगता है कि NVIDIA मालिकाना मॉड्यूल लोड नहीं किया गया था।

जब मैं यूईएफआई मेनू में सिक्योर बूट को अक्षम करता हूं तो कंप्यूटर बूट होता है और इंस्टॉल किए गए ड्राइवर के साथ आसानी से चलता है।

असुरक्षित मोड में बूटिंग की खामी से बचने के लिए, मैं यह जानना चाहूंगा कि कहां पर NVIDIA मॉड्यूल के x.509 प्रमाण पत्र को रखना है ताकि इसे कर्नेल द्वारा पहचाना जा सके इसलिए मुझे सुरक्षित बूट बंद करने की आवश्यकता नहीं है।

जवाबों:


1

आपको प्रमाण पत्र का उपयोग करने में सक्षम होना चाहिए MokManager.efi ताकि यह शिम द्वारा मान्यता प्राप्त है, और इसलिए कर्नेल द्वारा स्वीकार किया जाता है। मुझे नहीं पता कि फेडोरा अपना ग्रुब सेट करता है ताकि आप लॉन्च कर सकें MokManager.efi स्वयं। यदि नहीं, तो बूट करने की कोशिश करें (सिक्योर बूट डिसेबल के साथ) एक ईएफआई शेल या के साथ एक यूएसबी फ्लैश ड्राइव refind। फिर आपको लॉन्च करने में सक्षम होना चाहिए MokManager.efi और प्रमाणपत्र फ़ाइल लोड करें। (इसे उसी डिस्क पर संग्रहीत करने की आवश्यकता होगी जो के रूप में है MokManager.efi उपयोगिता - शायद /boot/efi फेडोरा के भीतर से।)

मुझे पूरा यकीन है कि लिनक्स के भीतर से NVRAM में प्रमाणपत्र जोड़ने का एक तरीका है ताकि शिम इसे नोटिस करे और पूछे कि क्या इसे अगली बार आपके द्वारा रीबूट करने के लिए उपयोग किया जाना चाहिए, लेकिन मुझे ठीक से पता नहीं है कि यह क्या है। संभवत: इसमें कहीं न कहीं फाइल लिखना शामिल होगा /sys/firmware/efi निर्देशिका पेड़।

उस ने कहा, मुझे यह विशिष्ट काम खुद कभी नहीं करना पड़ा, क्योंकि मैं अपने किसी भी कंप्यूटर पर मालिकाना वीडियो ड्राइवरों का उपयोग नहीं करता हूं। यह कयास है कि आपको कुछ अतिरिक्त कदम उठाने होंगे।


आपको पता चलता है कि आप कमांड लाइन में मोकुटिल का उपयोग कर सकते हैं।
Fabián Heredia Montiel

0

आप कुंजी को नामांकित करने के लिए मोकुटिल का उपयोग करना चाहेंगे।

sudo mokutil --import <der file>

यदि कुंजी के साथ नामांकित है तो आप परीक्षण कर सकते हैं

mokutil --test-key <der file>
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.