MOKutil:インストールされているドライバのキー登録

MOKutil:インストールされているドライバのキー登録

最初のインストール中に、ディストリビューション(Zorin OS)で提供されたオプションを使用して、PCに独自のNVIDIAドライバをインストールしました。残念ながら、ドライバ署名がMOKに登録されていないため、セキュアブートによってドライバ署名がロードされませんでした。

実行すると、modinfo nvidiaドライバは実際に署名されたと表示されますが、mokutil --list-enrolledどこにもドライバの署名は表示されません。だから私は一度も合格したことがありません。

後でMOKにドライバ署名を登録する方法は?モジュールに直接署名し、MOKに自分の署名を登録する方法の解決策だけを見つけました。しかし、すでに署名しており、modinfoMOKから署名を取得する方法が見つかりません。

よろしくお願いします!

答え1

特定の項目を登録していません。兆候;あなたは(公開部分)を登録しました署名に使用されるキー。一般的に(=システムの完全なセキュアブートキー階層を制御しない限り)、このキーをマシン所有者のキー、つまりMOKと呼びます。

ZorinはDebianに基づくUbuntuに基づいているため、MOK署名キーの標準位置はDebianと同じであると予想しました/var/lib/shim-signed/mok/

ディレクトリには2つのファイルを含める必要があります。MOK.derはい公開鍵使用することができる確認する署名の有効性とそれMOK.privに応じて秘密鍵使用することができる作る兆候。

NVidiaモジュールが署名された既存のキーを使用してMOK登録プロセスを再開するには、次の手順を実行します。

sudo mokutil --import /var/lib/shim-signed/mok/MOK.der

次回の再起動時に、登録プロセスを完了するために使い捨てパスワードを設定するように求められます。

システムを再起動すると、Secure Boot ShimはMOK Manager EFIユーティリティ(/boot/efi/EFI/<distribution>/mmx64.efi)を起動します。このユーティリティは、設定したパスワードを入力するように求められ、最終的に実際にMOK登録が必要かどうかを確認します。このプロセスでは、root権限と物理システムコンソールへのアクセス権がある場合にのみMOKを登録できます。

関連情報