セキュアブートと連携するようにデュアルブート(Arch + Win10)を取得しようとしています。フォローするアーチスウィキ、次の手順を実行します。
sudo mount /dev/sda1 /boot/efi
sudo mv /boot/efi/EFI/Boot/bootx64.efi /boot/efi/EFI/Boot/grubx64.efi
sudo cp /usr/share/shim-signed/shimx64.efi /boot/efi/EFI/Boot/bootx64.efi
sudo cp /usr/share/shim-signed/mmx64.efi /boot/efi/EFI/Boot/
sudo openssl req -newkey rsa:2048 -nodes -keyout MOK.key -new -x509 -sha256 -days 3650 -subj "/CN=MOK_LENOVO_MASSIMO/" -out MOK.crt
sudo openssl x509 -outform DER -in MOK.crt -out MOK.cer
sudo openssl x509 -outform DER -in MOK.crt -out MOK.cer
sudo sbsign --key MOK.key --cert MOK.crt --output /boot/vmlinuz-linux /boot/vmlinuz-linux
sudo sbsign --key MOK.key --cert MOK.crt --output /boot/efi/EFI/BOOT/grubx64.efi /boot/efi/EFI/BOOT/grubx64.efi
sudo cp MOK.cer /boot/efi/EFI/
systemctl reboot --firmware-setup
セキュアブートを有効にすると、システムはWindowsに直接起動します(新しい「shim」bootx64.efi以降、起動順序ではまだ「rEFInd Boot Manager」と呼ばれます)。
SBを無効にすると、再発見操作が再実行されます。これは、shimが正しく設定されているが、システムが署名キーを認識しないという意味であるようです。ウィキペディアとサイトを再検索Microsoft キーで署名された shim はチェーンの読み込み (まだ署名されていない) で再発見できないため、MOK ツールを使用するように求められます。
シムチェーンにMokManagerをロードする方法は?
編集:私は見ましたガスケットのソースコード実際にエラーが発生すると、shimはエラーを印刷します(これは発生しません)。 Windowsが自動的に起動します。
ベストアンサー1
MOKを生成する必要があります。そしてこれを使用してブートローダに署名します。または補完的なshim +ブートローダのペアを取得します(例:「shimがコンパイルされた証明書で署名されたブートローダ」) - トピックに関するRodの優れた本も参照してください(セキュアブート処理、セキュアブート制御)そして私UEFI SecureBoot ミニガイドArchがUEFI CA(= = MSFT)署名付きシムを取得するのを手伝うことに興味がある場合。
実際には、これらの苦しみのLinuxディストリビューションを入手する方がはるかに簡単かもしれません(私はFedora、SUSE、Ubuntuを知っています)。アラニンアミノ転移酵素今日現在ROSA(もっとあり得る)。
PS:正しいです(しかし役に立たない)答えはガスケットがすでに期待どおりに機能しているということです...