보안 부팅과 함께 작동하도록 이중 부팅(Arch+Win10)을 얻으려고 합니다. 나는 팔로우한다아치스 위키, 다음 단계를 수행하십시오.
sudo mount /dev/sda1 /boot/efi
sudo mv /boot/efi/EFI/Boot/bootx64.efi /boot/efi/EFI/Boot/grubx64.efi
sudo cp /usr/share/shim-signed/shimx64.efi /boot/efi/EFI/Boot/bootx64.efi
sudo cp /usr/share/shim-signed/mmx64.efi /boot/efi/EFI/Boot/
sudo openssl req -newkey rsa:2048 -nodes -keyout MOK.key -new -x509 -sha256 -days 3650 -subj "/CN=MOK_LENOVO_MASSIMO/" -out MOK.crt
sudo openssl x509 -outform DER -in MOK.crt -out MOK.cer
sudo openssl x509 -outform DER -in MOK.crt -out MOK.cer
sudo sbsign --key MOK.key --cert MOK.crt --output /boot/vmlinuz-linux /boot/vmlinuz-linux
sudo sbsign --key MOK.key --cert MOK.crt --output /boot/efi/EFI/BOOT/grubx64.efi /boot/efi/EFI/BOOT/grubx64.efi
sudo cp MOK.cer /boot/efi/EFI/
systemctl reboot --firmware-setup
보안 부팅을 활성화하면 시스템이 Windows로 직접 부팅됩니다(새로운 "shim" bootx64.efi 이후, 부팅 순서에서는 여전히 "rEFInd Boot Manager"라고 함).
SB를 비활성화하면 재발견 작업이 다시 수행됩니다. 이는 shim이 올바르게 구성되었지만 시스템이 서명 키를 인식하지 못한다는 의미인 것 같습니다. 위키피디아와사이트 다시 찾기Microsoft 키로 서명된 shim은 체인 로드(아직 서명되지 않음)하여 다시 찾을 수 없기 때문에 MOK 도구를 사용하라는 메시지가 표시되어야 한다고 알려줍니다.
심 체인에 MokManager를 로드하는 방법은 무엇입니까?
편집 : 나는 살펴 보았다개스킷 소스 코드실제로 오류가 발생하면 shim은 오류를 인쇄합니다(그런 일은 발생하지 않습니다). Windows가 자동으로 시작됩니다.
답변1
MOK를 생성해야 합니다.그리고이를 사용하여 부트로더에 서명합니다.또는보완적인 shim+부트로더 쌍을 얻으십시오(예: "shim이 컴파일된 인증서로 서명된 부트로더") - 주제에 대한 Rod의 훌륭한 책도 참조하십시오(보안 부팅 처리,보안 부팅 제어) 그리고 내UEFI SecureBoot 미니 가이드Arch가 UEFI CA(== MSFT) 서명된 shim을 얻도록 돕는 데 관심이 있는 경우.
실제로 이러한 고통을 겪는 Linux 배포판을 구하는 것이 훨씬 쉬울 수도 있습니다(저는 Fedora, SUSE, Ubuntu를 알고 있습니다.알라닌 아미노전이효소오늘 현재 ROSA(더 있을 수 있음).
추신: 정확합니다(하지만쓸모 없는) 대답은 개스킷이 이미 예상대로 작동하고 있다는 것입니다...