Adicionando o certificado X.509 ao banco de dados de inicialização segura da UEFI?

7

Instalei recentemente o Fedora 20 em um PC de mesa personalizado com uma placa-mãe ASUS Z87-K. Dados alguns bugs comumente conhecidos, instalei o driver proprietário da NVIDIA para minha GeForce 630 e desativei o driver nouveau.

Após concluir corretamente a instalação do driver, durante a qual o módulo foi assinado com um par de chaves recém-gerado, um certificado x.509 foi criado e colocado automaticamente em

/usr/share/nvidia/certificate.der .

No entanto, a partir desse momento, o computador não consegue inicializar com a opção de inicialização segura UEFI ativada. Ao mudar para o modo de texto e executar nvidia-modprobe , acho que o módulo proprietário da NVIDIA não foi carregado.

Quando desabilito a Inicialização Segura no menu UEFI, o computador é inicializado e executado sem problemas com o driver instalado.

Para evitar a desvantagem de inicializar em um modo inseguro, eu gostaria de saber onde colocar o certificado x.509 do módulo NVIDIA para que ele seja reconhecido pelo kernel para que eu não tenha que desligar Inicialização Segura.

    
por zml 26.07.2014 / 13:15

2 respostas

1

Você deve ser capaz de carregar o certificado usando MokManager.efi para que seja reconhecido pelo Shim e, portanto, aceito pelo kernel. Eu não sei se o Fedora configura seu GRUB para que você possa lançar o MokManager.efi . Caso contrário, tente inicializar (com a Inicialização segura desativada) uma unidade flash USB com um shell EFI ou rEFInd. Você deve então poderá lançar MokManager.efi e carregar o arquivo de certificado. (Ele precisará ser armazenado no mesmo disco que o utilitário MokManager.efi - provavelmente /boot/efi dentro do Fedora.)

Tenho certeza que há uma maneira de adicionar o certificado à NVRAM a partir do Linux, para que o Shim perceba e pergunte se ele deve ser usado na próxima vez que você reiniciar, mas não sei exatamente o que é . Presumivelmente, envolveria gravar o arquivo em algum lugar na árvore de diretórios /sys/firmware/efi .

Dito isso, eu nunca tive que fazer isso especificamente, já que não uso drivers de vídeo proprietários em nenhum dos meus computadores. É concebível que haja algum passo extra que você precisará fazer.

    
por 26.07.2014 / 15:54
0

Você gostaria de usar o mokutil para registrar a chave.

sudo mokutil --import <der file>

Você pode testar se uma chave está inscrita com

mokutil --test-key <der file>
    
por 24.09.2014 / 14:44