セキュアブートを介してDebian 12でUEFIを起動する際に問題があります。
これはMSI Meg Z490 Unifyマザーボードにあります。 GPUはAMD WX3200です。標準モードでセキュアブートを有効にして主キーをロードします。テストはGPUを切断し、第10世代i3のオンボードグラフィックスを使用して行われました。
最初にSecurebootを有効にしてDebianをインストールしましたが、正常にインストールして再起動した後、BIOS画面に何も表示されませんでした。マザーボードが署名されていないため、ブートローダの実行を拒否したためだと思いますか?それで、なぜデフォルトのDebianインストール(Securebootをサポートする必要がある)が新しいインストールで機能しないのかわかりません。 Securebootを無効にし、システムで正常に起動しました。efibootmgr -v使用中で、shimx64.efiシム署名付きパッケージがインストールされていることを示します。
その後、セキュアブートを再度有効にしてshimx64.efiUEFI許可署名に追加し、GRUB画面に移動してカーネルをロードしようとすると、shim_lock protocol not foundシム署名パッケージのため。インストール済みそして表示されefibootmgr -vましたshimx64.efi。
その後、いくつかの異なる設定の組み合わせ、標準モードの主キー、カスタムモードの主キー、署名を追加および追加しない、追加と署名、ブラックshimx64.efiリストから署名を削除しようとしました。shimx64.efigrubx64.efi
しかし、私の質問に関しては、MSI BIOS Security Bootセクションにはカスタムモードのフルキーセクションがあり、独自のプラットフォームキー、許可された署名などを追加できます。
Debian UEFI署名CA証明書を許可された署名および/またはプラットフォームキーにアップロードし、GRUBを直接起動できないのはなぜですか?
許可された署名にDebian CAをロードしてみました。キーは変数に正常に追加され、nvramに保存されているとマークされますが、GRUBを起動した後(検証を使用してシステムからshimを削除した後でなければなりませんefibootmgr -v)、同じエラーが発生しますshim_lock procotol not found。
これは、SecureBoot UEFIが実際にMicrosoftによって署名されていないブートローダをロードすることを意味しますか?シム署名付きパッケージを削除した後、カーネルイメージに対してどのようなアクションを取る必要がありますか?
これはうまくいかないことを知っていますが、なぜできないのですか?ブートローダの認証にキーを使用しないのにセキュアブートにキーを追加するのはなぜですか?
また、追加の質問として、このMSIマザーボードにスペーサーを使用する方法について提案がある人はいますか?
新しい発見:
一部の修正後に、セキュアブートセクションからすべてのキーを削除し、プラットフォームキーとキー交換キーにDebiansキーのみを追加(いずれか、両方を追加)すると、PCが機能しない無限の電力サイクルが発生します。 BIOS画面に進みます(制御するにはcmosをリセットする必要があります)。