Estou tentando fazer com que minha inicialização dupla (Arch + Win10) funcione com o Secure Boot.
Eu segui o Arch Wiki , com os seguintes passos.
sudo mount /dev/sda1 /boot/efi
sudo mv /boot/efi/EFI/Boot/bootx64.efi /boot/efi/EFI/Boot/grubx64.efi
sudo cp /usr/share/shim-signed/shimx64.efi /boot/efi/EFI/Boot/bootx64.efi
sudo cp /usr/share/shim-signed/mmx64.efi /boot/efi/EFI/Boot/
sudo openssl req -newkey rsa:2048 -nodes -keyout MOK.key -new -x509 -sha256 -days 3650 -subj "/CN=MOK_LENOVO_MASSIMO/" -out MOK.crt
sudo openssl x509 -outform DER -in MOK.crt -out MOK.cer
sudo openssl x509 -outform DER -in MOK.crt -out MOK.cer
sudo sbsign --key MOK.key --cert MOK.crt --output /boot/vmlinuz-linux /boot/vmlinuz-linux
sudo sbsign --key MOK.key --cert MOK.crt --output /boot/efi/EFI/BOOT/grubx64.efi /boot/efi/EFI/BOOT/grubx64.efi
sudo cp MOK.cer /boot/efi/EFI/
systemctl reboot --firmware-setup
Quando habilitei o Secure Boot, o sistema inicializou diretamente no Windows (que é após o novo "shim" bootx64.efi, ainda chamado de "rEFInd Boot Manager", na ordem de inicialização).
Desabilitar o SB me levou a uma nova revisão de trabalho, o que, eu acho, significa que o shim está configurado corretamente, mas o sistema não reconhece sua chave assinada? O Wiki e o site de reintegração dizem que eu deveria ser solicitado com a ferramenta MOK, já que Shim, assinado com a chave Microsoft, não é possível encadear (ainda não assinado).
Como eu faço shim chainload MokManager?
EDIT: Eu dei uma olhada no código-fonte Shim e, de fato, parece que, se houvesse erros, shim iria imprimi-los alegremente (o que não acontece). Ele apenas inicializa silenciosamente o Windows.