Seite 1 von 1
Eigene Signatur für UEFI Secure Boot einlesen
Verfasst: 26.07.2024, 14:36
von teco64
Hallo,
gibt es eine Möglichkeit, in der Workstation eine eigene Signatur für Secure Boot zusätzlich einzubinden?
Danke im voraus.
Gruß
teco64
Re: Eigene Signatur für UEFI Secure Boot einlesen
Verfasst: 26.07.2024, 15:23
von ~thc
Meinst du mit Signatur den SHA256-Hash eines nicht-signierten Bootloaders, der in die "MokList" gehört?
Re: Eigene Signatur für UEFI Secure Boot einlesen
Verfasst: 26.07.2024, 15:39
von teco64
Ja, den meine ich, damit man den dann mit Secure Boot und TPM booten kann.
Ist das bei der Workstation möglich?
Re: Eigene Signatur für UEFI Secure Boot einlesen
Verfasst: 26.07.2024, 18:02
von ~thc
Theoretisch - so wie bei einem physischen UEFI-PC auch.
- Im BIOS/EFI-Setup Secure Boot ausschalten (F2 oder VMX-Parameter bios.forceSetupOnce = "TRUE" )
- Per bootfähiger Linux-Distri das EFI-Tool für die MokList-Verwaltung (MokMannager / mmx64.efi) auf die EFI-Partition kopieren
- Via BIOS/EFI-Bootmanager die "EFI Shell" booten
- In der EFI-Shell per MokManager den Hash hinzufügen
- Im BIOS/EFI-Setup Secure Boot wieder einschalten
Alternativ gibt es noch OS level tools zum Bearbeiten der EFI-Variablen ("efi-updatevar" unter Linux, Powershell-Module für Windows) aber da fehlt mir die Erfahrung.
Re: Eigene Signatur für UEFI Secure Boot einlesen
Verfasst: 29.07.2024, 07:00
von Santa
Das Paket "veeamsnap-ueficert" von Veeam macht genau das. Die paar relevanten Zeilen Installationsscript kann man auch von da abschauen:
Code: Alles auswählen
if ! command -v mokutil >/dev/null; then
echo "Failed to import $cert, mokutil not found."
exit 0
fi
# Only call mokutil if UEFI and shim are used
cert=/etc/uefi/certs/veeamsnap-ueficert
if ! mokutil --import "$cert" --root-pw; then
echo "Failed to import $cert."
else
echo "Certificate $cert has been imported successfully, please reboot this computer to enroll it into the UEFI database."
fi
exit 0