Technik Gurus

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
wiki:secureboot

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige ÜberarbeitungVorherige Überarbeitung
Nächste Überarbeitung		Vorherige Überarbeitung
Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung
wiki:secureboot [2023/06/23 21:24] – [Abhilfe] pulsarwiki:secureboot [2024/03/29 18:44] – [SUSE] pulsar
Zeile 45: Zeile 45:
  
  
-==== Abhilfe ====+===== mokutil =====
  
-Secure Boot deaktivieren und die folgenden Kommandos ausführen. Falls sich Secure Boot nicht deaktivieren lässt (Dell), dann ein System starten, welches mit den Standard Signaturen starten kann. In meinem Fall hatte OpenSuse neuere Keys bzw. seine eigenen Suse Key im NVRAM des UEFI Chips geladen und wohl auch die Secure Boot Advanced Targeting (SBAT) aktualisiert so das ältere Micosoft Keys nicht mehr funktionieren, sondern nur neuere Versionen davon.+Eine **Abhilfe** bietet hier das ''mokutil''.
  
-  mokutil --disable-validation+Es ist evtl. nötig die default Keys im UEFI wieder herszustellen, der Secure BootStick verlangt evtl. den Standard Microsoft Key 
 + 
 +Folgende Kommandos zeigen zumindest: 
 + 
 +  mokutil --kek 
 + 
 +  * [key 1] = C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Platform Key 
 +  * [key 2] = C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root 
 + 
 +  mokutil --db 
 + 
 +  * [key 1] = C=US, ST=Texas, L=Round Rock, O=Dell Inc., CN=Dell Inc. Key Exchange Key 
 +  * [key 2] = C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Corporation Third Party Marketplace Root 
 +  * [key 3] = C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010 
 + 
 + 
 +  mokutil --dbx 
 + 
 +  * [key 1] = C=US, ST=Washington, L=Redmond, O=Microsoft Corporation, CN=Microsoft Root Certificate Authority 2010 
 +  * [key 2] = [SHA-256] 80b4d96931b... ewig lang ...856967df8e 
 +   
 +   
 +Ansonsten gilt: 
 +Secure Boot deaktivieren und die folgenden Kommandos ausführen. Falls sich Secure Boot nicht deaktivieren lässt (Dell), dann ein System starten, welches mit den Standard Signaturen starten kann. In meinem Fall hatte OpenSuse neuere Keys bzw. seine eigenen Suse Key im NVRAM des UEFI Chips geladen und wohl auch die Secure Boot Advanced Targeting (SBAT) aktualisiert so das ältere Micosoft Keys nicht mehr funktionieren, sondern nur neuere Versionen davon - Hauptgrund warum der Boot-Stick nicht mehr startet. 
 + 
 + 
 +folgender Kommando zeigt nur einen **[key 1]** Issuer: CN=SUSE Linux Enterprise Secure Boot CA - so sieht es auch aus wenn es funktioniert. 
 + 
 +  mokutil --list-enrolled 
 + 
 + 
 +Disabling/re-enabling Secure Boot: 
 + 
 +  mokutil --disable-validation or mokutil --enable-validation
   mokutil --reset   mokutil --reset
   mokutil --set-sbat-policy previous / delete   mokutil --set-sbat-policy previous / delete
      
-Choose a password between 8 and 16 characters long. Enter the same password to confirm it. Reboot. When prompted, press a key to perform MOK management. Select „Change Secure Boot state“. Enter each requested character of your chosen password to confirm the change. Note that you have to press Return/Enter after each character. Select „Yes“. Select „Reboot“. +Choose a password between 8 and 16 characters long. Enter the same password to confirm it. Reboot. When prompted, press a key to perform MOK management. Select „Change Secure Boot state“. Enter each requested character of your chosen password to confirm the change. Note that you have to press Return/Enter after each character. 
 + 
 +Select „Yes“.  
 +Select „Reboot“. 
  
 Im MOK Manager der direkt nach dem reboot aufgerufen wird alles löschen bzw. deaktiveren, MOK List delete und Validation deaktiveren. Im MOK Manager der direkt nach dem reboot aufgerufen wird alles löschen bzw. deaktiveren, MOK List delete und Validation deaktiveren.
Zeile 64: Zeile 100:
   sbat,1,2022052400   sbat,1,2022052400
   grub,2   grub,2
- 
- 
-folgender Kommando zeigt nur einen **[key 1]** Issuer: CN=SUSE Linux Enterprise Secure Boot CA 
- 
-  mokutil --list-enrolled 
-   
-  
  
 ==== Interessant aber ungetestet ==== ==== Interessant aber ungetestet ====
Zeile 78: Zeile 107:
   mokutil --mokx   mokutil --mokx
      
-===== mokutil ===== 
- 
-Disabling/re-enabling Secure Boot: 
- 
-  mokutil --disable-validation or mokutil --enable-validation 
- 
-Choose a password between 8 and 16 characters long. Enter the same password to confirm it. 
-Reboot. 
-When prompted, press a key to perform MOK management. 
-Select "Change Secure Boot state". 
-Enter each requested character of your chosen password to confirm the change. Note that you have to press Return/Enter after each character. 
-Select "Yes". 
-Select "Reboot" 
- 
  
  
Zeile 174: Zeile 189:
  
   mokutil --pk   mokutil --pk
 +
 +Dieser Kommando liefert nun 2 key zurück, in Suse keine Updates eingespielt, kann nur vom BootStick sein.
  
   mokutil --dbx   mokutil --dbx
wiki/secureboot.txt · Zuletzt geändert: 2024/03/29 20:19 von pulsar