GRUB2签名过secure boot？怎么操作？

tdqk003 · 发表于 2016-12-30 21:22:01

请问各位大师grub2要怎么签名才能过secure boot，麻烦大师指点指点非常感谢

永远的大象 · 发表于 2016-12-30 22:58:51

本帖最后由永远的大象于 2016-12-31 01:55 编辑

如果BIOS可以自己导入证书的话，自己弄个证书，从BIOS导入，然后用你这个证书签名的，就可以过 Secure Boot 了。
当然，只限你这机器

参考论坛上另一个帖子：可以通过Secure Boot的GRUB2

求道者 · 发表于 2016-12-30 22:03:09

需要微软的签名自己的签名没啥用

parsons · 发表于 2016-12-31 09:21:10

本帖最后由 parsons 于 2016-12-31 09:28 编辑

不想付 99元美金給微軟签名你的啟動器
http://www.codon.org.uk/~mjg59/shim-signed/
進上面網站下載shim.efi及MokManager.efi , 將你的grub2签名 :
shim-signed-0.2.tgz 01-Dec-2012 01:26 789K

shim-signed.7z (425.9 KB, 下载次数: 46)

tdqk003 · 发表于 2016-12-31 17:30:12

parsons 发表于 2016-12-31 09:21
不想付 99元美金給微軟签名你的啟動器
http://www.codon.org.uk/~mjg59/shim-signed/
進上面網站下載shim ...

非常感谢大师的帮忙，我试试

parsons · 发表于 2017-1-1 00:27:22

本帖最后由 parsons 于 2017-1-1 16:05 编辑

另一簡單GRUB2签名方法:
來源:
http://www.rodsbooks.com/refind/secureboot.html

電腦 BIOS 設定成純 UEFI 啟動 , 將 SecureBoot 打開(enable)
將 USB 格成 MBR FAT32 , 使用 bootice 將主引導設成 [Windows NT 6.x MBR] , 分區引導設成 [BOOTMGR] , 分區管裡設成 [激活]
將 Grub2SecureBoot.7z 解壓到 USB (其中 loader.EFI=Grub2.efi , bootx64.efi=PreLoader.efi)
重新啟動電腦 , 從 USB 開機 , 進行 loader.EFI 签名動作 , 如果順利完成 , 以後純 UEFI 啟動開機將自動進入Grub2 菜單

Grub2SecureBoot.7z (1.28 MB, 下载次数: 109)

rkr077 · 发表于 2017-3-21 13:59:42

Ubuntu的grub-install会随机的给GRUB签名，你要花99美金买个微软的签名才行。然后就是shim，shim用的是MOK，只有带正确MOK签名的GRUB2才能被shim加载，到GRUB2阶段，linuxefi和initrd只能加载带有正确MOK的内核文件。可以用MokManager.efi导入MOK。

rkr077 · 发表于 2017-3-21 14:00:38

SecureBoot，到了内核阶段也只能加载带MOK的第三方内核模块

rkr077 · 发表于 2017-3-21 14:05:16

http://rkr077.blog.163.com/blog/static/2685220052016111711549385/

		自动登录	找回密码
密码			注册

[求助] GRUB2签名过secure boot？怎么操作？

点评