我想使用我们的自定义密钥进行安全的启动ubuntu,受信任的启动链应该是从BIOS到Bootloader,再从Bootloader到内核,这是在使用我们的自定义签名进行验证后加载下一阶段的每一步。
我已经签名了ubuntu引导程序(grubx64.efi,mmx64.efi和shimx64.efi),内核(vmlinuxz)和initrd。
我已经使用openssl生成了带有公共证书(PK,KEK,DB)的私钥,并使用sbsigntool对其进行了签名,并将所有密钥都放入了Bios中。 仅当BIOS被签名且Bios中存在相同的密钥时,BIOS才允许加载引导加载程序,这是可以的。问题是,引导加载程序允许内核而不验证签名,引导加载程序允许内核(尽管它使用不同的密钥进行了签名)。我已经在grub配置文件中设置了check_signature enable。那么它也没有在验证签名,该怎么办?