現在、統合カーネルイメージ(UKI)、フルディスク暗号化(FDE)、およびセキュアブート/ TPM2ベースのロック解除機能を備えたArch Linuxを実行している2台のコンピュータがあります。両方のコンピュータで利用可能なポータブルUSBスティックインストール(UKI / FE / TPM2を含む)を作成したいと思います。現在、セキュアブート(SB)キーを設定する方法を学んでいます。
両方のコンピュータとUSBスティックの両方でSBキーを生成し、UKIに署名します。
sbctl create-keys -e ./ -d ./
sbctl import-keys --directory ./
cp ./GUID /usr/share/secureboot/
sbctl sign -s ${uki}
デバイスがUSBスティックのSBキーを知らないため、これは明らかに間違っています。
フォローしようとしています。アーチスウィキ。まず、USBスティックのMachineAとSB dbキーをEFI署名リストに変換しました。
cert-to-efi-sig-list -g "$(< ./SBKeysMachineA/GUID)" ./SBKeysMachineA/db/db.crt ./SBKeysMachineA/db/db.esl
cert-to-efi-sig-list -g "$(< ./SBKeysUSB/GUID)" ./SBKeysUSB/db/db.crt ./SBKeysUSB/db/db.esl
それからWiKiはEFI署名リストに署名し、USBキーを接続したように聞こえますが、私は迷子になりました。
sign-efi-sig-list -g "$(< ./SBKeysMachineA/GUID)" -k ./SBKeysMachineA/KEK/KEK.key -c ./SBKeysMachineA/KEK/KEK.pem db ./SBKeysMachineA/db/db.esl ./SBKeysMachineA/db/db.auth
sign-efi-sig-list -a -g "$(< ./SBKeysUSB/GUID)" -k ./SBKeysUSB/KEK/KEK.key -c ./SBKeysMachineA/KEK/KEK.pem db ./SBKeysUSB/db/db.esl ./SBKeysUSB/db/db.auth
USB db EFI署名リストを自分自身に追加するようですが、これは間違っているようです。
最後に、両方のコンピュータにSBキーを登録しました。
sbctl enroll-keys -m
EFI署名リストにはまだ有効ですか?そうでない場合は、キーをどのように登録する必要がありますか?