ターゲットホストでEFIを有効にし、独自のPlatformKeyを使用してセキュアブートを有効にし、imgverifyを使用してinitrdの署名を検証するipxeブートイメージを有効にしました。これで、ブートシナリオでrootfsライブイメージを検証する必要がある問題に直面しました。
#!ipxe
set remotestorage http://myserver/repository
ifconf net0
initrd ${remotestorage}/initrd.img
imgverify initrd.img ${remotestorage}/initrd.img.sig
kernel ${remotestorage}/vmlinuz.signed initrd=initrd-${net0.dhcp/225}.img root=live:${remotestorage}/clusternode.squashfs console=tty0 console=ttyS0,115200 rd.bootif=0 ifname=net0:${net0/mac} bootdev=net0 ip=${net0/ip}::${net0/gateway}:${net0/netmask}:${net0/hostname}:net0:off nameserver=${net0/dns}
boot
Clusternode.squashfsの署名検証を実装する方法をご存知ですか?