secureboot db EFI署名リストにキーを追加するには?

secureboot db EFI署名リストにキーを追加するには?

現在、統合カーネルイメージ(UKI)、フルディスク暗号化(FDE)、およびセキュアブート/ TPM2ベースのロック解除機能を備えたArch Linuxを実行している2台のコンピュータがあります。両方のコンピュータで利用可能なポータブルUSBスティックインストール(UKI / FE / TPM2を含む)を作成したいと思います。現在、セキュアブート(SB)キーを設定する方法を学んでいます。

両方のコンピュータとUSBスティックの両方でSBキーを生成し、UKIに署名します。

sbctl create-keys -e ./ -d ./
sbctl import-keys --directory ./
cp ./GUID /usr/share/secureboot/
sbctl sign -s ${uki}

デバイスがUSBスティックのSBキーを知らないため、これは明らかに間違っています。

フォローしようとしています。アーチスウィキ。まず、USBスティックのMachineAとSB dbキーをEFI署名リストに変換しました。

cert-to-efi-sig-list -g "$(< ./SBKeysMachineA/GUID)" ./SBKeysMachineA/db/db.crt ./SBKeysMachineA/db/db.esl
cert-to-efi-sig-list -g "$(< ./SBKeysUSB/GUID)" ./SBKeysUSB/db/db.crt ./SBKeysUSB/db/db.esl

それからWiKiはEFI署名リストに署名し、USBキーを接続したように聞こえますが、私は迷子になりました。

sign-efi-sig-list -g "$(< ./SBKeysMachineA/GUID)" -k ./SBKeysMachineA/KEK/KEK.key -c ./SBKeysMachineA/KEK/KEK.pem db ./SBKeysMachineA/db/db.esl ./SBKeysMachineA/db/db.auth
sign-efi-sig-list -a -g "$(< ./SBKeysUSB/GUID)" -k ./SBKeysUSB/KEK/KEK.key -c ./SBKeysMachineA/KEK/KEK.pem db ./SBKeysUSB/db/db.esl ./SBKeysUSB/db/db.auth

USB db EFI署名リストを自分自身に追加するようですが、これは間違っているようです。

最後に、両方のコンピュータにSBキーを登録しました。

sbctl enroll-keys -m

EFI署名リストにはまだ有効ですか?そうでない場合は、キーをどのように登録する必要がありますか?

関連情報