kotovalexarian-likes-gitlab/bztsrc--bootboot
1
0
Fork 0
mirror of https://gitlab.com/bztsrc/bootboot.git synced 2023-02-13 20:54:32 -05:00
Code Releases Activity

Added Secure boot description

Browse source
This commit is contained in:
bzt 2020-07-12 21:53:53 +02:00
parent 0b3d48e1a3
commit 6327543b1a
2 changed files with 26 additions and 14 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

20
x86_64-efi/OLVASSEL.md
View file

@ -69,13 +69,19 @@ könnyű megszerezni egy egyedi betöltő számára, mert az M$ nem fogja megadn
1. töltsd le a [shim](https://apps.fedoraproject.org/packages/shim)-et
2. csomagold ki az SHIMX64.EFI és MMX64.EFI fájlokat az EFI\BOOT alá (ezeket aláírta az M$).
3. nevezd át a BOOTBOOT betöltőt `EFI\BOOT\BOOTX64.EFI`-ről `EFI\BOOT\GRUBX64.EFI`-re.
4. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
5. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
6. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva. Ennek MOK.cer-et kell létrehoznia.
7. másold át azt a MOK.cer fájlt az ESP partícióra.
8. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert, ahol hozzáadhatod a hash-ed és a MOK.cer fájlt.
9. engedélyezd a Secure Boot-ot.
3. nevezd át az `EFI\BOOT\SHIMX64.EFI` fájlt `EFI\BOOT\BOOTX64.EFI`-re.
4. csinálj privát-publikus kulcspárt és egy x509 certet `openssl`-el.
```
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
openssl x509 -outform DER -in MOK.crt -out MOK.cer
```
5. írd alá az EFI\BOOT\GRUBX64.EFI-t SHA-256 hashel az `sbsign`-t használva.
```
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
```
6. másold át a MOK.cer fájlt az ESP partícióra.
7. bootolj UEFI-be, shim el fogja indítani a MOK Menedzsert. Ott válaszd ki az "Enroll key from disk" opciót, keresd meg a MOK.cer-t, add hozzá. Aztán "Enroll hash from disk", keresd meg a GRUBX64.EFI-t és add hozzá.
8. engedélyezd a Secure Boot-ot.
Ezek után a lépések után a BOOTBOOT betöltő Secure Boot módban fog indulni (shim a továbbiakban az aláírt
GRUBX64.EFI-t indítja a MOK Menedzser helyett).

20
x86_64-efi/README.md
View file

@ -69,13 +69,19 @@ not easy to get your custom loader signed, because M$ just won't do that even if
1. download [shim](https://apps.fedoraproject.org/packages/shim)
2. extract SHIMX64.EFI and MMX64.EFI to EFI\BOOT (these are signed by M$).
3. rename the BOOTBOOT loader `EFI\BOOT\BOOTX64.EFI` to `EFI\BOOT\GRUBX64.EFI`.
4. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
5. create a public-private key pair and x509 cert with `openssl`.
6. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`. Should result in MOK.cer.
7. copy that MOK.cer to the ESP partition.
8. boot into UEFI, shim will call MOK Manager where you can enroll your hash and MOK.cer.
9. enable Secure Boot.
3. rename `EFI\BOOT\SHIMX64.EFI` to `EFI\BOOT\BOOTX64.EFI`.
4. create a public-private key pair and x509 cert with `openssl`.
```
openssl req -newkey rsa:4096 -nodes -keyout MOK.key -new -x509 -days 3650 -subj "/CN=BOOTBOOT/" -out MOK.crt
openssl x509 -outform DER -in MOK.crt -out MOK.cer
```
5. sign EFI\BOOT\GRUBX64.EFI using an SHA-256 hash with `sbsign`.
```
sbsign --key MOK.key --cert MOK.crt --out EFI/BOOT/GRUBX64.EFI bootboot.efi
```
6. copy MOK.cer to the ESP partition.
7. boot into UEFI, shim will call MOK Manager. There select "Enroll key from disk", find MOK.cer and add it. Then select "Enroll hash from disk", find GRUBX64.EFI and add it.
8. enable Secure Boot.
After these steps BOOTBOOT loader will boot with Secure Boot enabled (shim will load the signed GRUBX64.EFI
instead of the MOK Manager hereafter).