Eigene Signatur für UEFI Secure Boot einlesen

[teco64]

Hallo,
gibt es eine Möglichkeit, in der Workstation eine eigene Signatur für Secure Boot zusätzlich einzubinden?
Danke im voraus.
Gruß
teco64

[~thc]

Meinst du mit Signatur den SHA256-Hash eines nicht-signierten Bootloaders, der in die "MokList" gehört?

[teco64]

Ja, den meine ich, damit man den dann mit Secure Boot und TPM booten kann.
Ist das bei der Workstation möglich?

[~thc]

Theoretisch - so wie bei einem physischen UEFI-PC auch.

- Im BIOS/EFI-Setup Secure Boot ausschalten (F2 oder VMX-Parameter bios.forceSetupOnce = "TRUE" )
- Per bootfähiger Linux-Distri das EFI-Tool für die MokList-Verwaltung (MokMannager / mmx64.efi) auf die EFI-Partition kopieren
- Via BIOS/EFI-Bootmanager die "EFI Shell" booten
- In der EFI-Shell per MokManager den Hash hinzufügen
- Im BIOS/EFI-Setup Secure Boot wieder einschalten

Alternativ gibt es noch OS level tools zum Bearbeiten der EFI-Variablen ("efi-updatevar" unter Linux, Powershell-Module für Windows) aber da fehlt mir die Erfahrung.

[Santa]

Das Paket "veeamsnap-ueficert" von Veeam macht genau das. Die paar relevanten Zeilen Installationsscript kann man auch von da abschauen:

Code: Alles auswählen

if ! command -v mokutil >/dev/null; then
        echo "Failed to import $cert, mokutil not found."
        exit 0
fi
# Only call mokutil if UEFI and shim are used
cert=/etc/uefi/certs/veeamsnap-ueficert
if ! mokutil --import "$cert" --root-pw; then
        echo "Failed to import $cert."
else
        echo "Certificate $cert has been imported successfully, please reboot this computer to enroll it into the UEFI database."
fi
exit 0