默认情况下安装了 Microsoft 的密钥交换密钥 (KEK)。

注意：需要 GUID 分区表 (GPT)

安全启动默认在 UEFI/x86_64 安装上启用。您可以在“引导加载程序设置”对话框的“引导代码选项”选项卡中找到“启用安全启动支持”选项。它支持在固件中激活安全启动时进行引导，同时也可以在固件停用时进行引导。

图 14.1：安全启动支持 #

安全启动功能要求 GUID 分区表 (GPT) 替换旧的分区，使用主引导记录 (MBR)。如果 YaST 在安装过程中检测到 EFI 模式，它将尝试创建一个 GPT 分区。UEFI 期望在 FAT 格式化的 EFI 系统分区 (ESP) 上找到 EFI 程序。

支持 UEFI 安全启动需要具有固件识别为受信任密钥的数字签名的引导加载程序。该密钥默认受固件信任，无需任何手动干预。

有两种方法可以实现这一点。一种是与硬件供应商合作，让他们认可 SUSE 密钥，然后 SUSE 使用该密钥对引导加载程序进行签名。另一种方法是通过 Microsoft 的 Windows Logo 认证计划来认证引导加载程序，并让 Microsoft 认可 SUSE 签名密钥（即使用他们的 KEK 对其进行签名）。到目前为止，SUSE 已通过 UEFI 签名服务（在本例中为 Microsoft）对加载程序进行了签名。

图 14.2：UEFI：安全启动过程 #

在实现层面上，SUSE 使用默认安装的 shim 加载程序。这是一个巧妙的解决方案，可以避免法律问题，并大大简化认证和签名步骤。 shim 加载程序的工作是加载一个引导加载程序，例如 GRUB 2 并对其进行验证；该引导加载程序反过来将仅加载由 SUSE 密钥签名的内核。

有两种类型的受信任用户

UEFI 提供两种类型的变量来满足这些用户的需求

UEFI 密钥列表是第一种类型，因为这允许在线更新、添加和黑名单密钥、驱动程序和固件指纹。正是第二种类型的变量，“仅引导服务变量”，有助于以安全和开源友好的方式实现安全启动，从而与 GPLv3 兼容。

SUSE 从 shim 开始——一个由 SUSE 和 Microsoft 签名的小型简单的 EFI 引导加载程序。

这允许 shim 加载和执行。

shim 然后继续验证它想要加载的引导加载程序是否受信任。在默认情况下，shim 将使用嵌入在其主体中的独立 SUSE 证书。此外，shim 将允许“注册”其他密钥，覆盖默认的 SUSE 密钥。在以下内容中，我们称它们为“机器所有者密钥”或 MOK 简而言之。

接下来，引导加载程序将验证然后引导内核，内核将对模块执行相同的操作。

要替换特定的内核、驱动程序或其他引导过程的一部分，需要使用机器所有者密钥 (MOK)。 mokutil 工具可以帮助您管理 MOK。

可以使用 mokutil 创建 MOK 注册请求。该请求存储在 UEFI 运行时 (RT) 变量中，称为 MokNew。在下一次引导期间，shim 引导加载程序检测到 MokNew 并加载 MokManager，后者会向您呈现几个选项。您可以使用“从磁盘注册密钥”和“从磁盘注册哈希”选项将密钥添加到 MokList。使用“注册 MOK”选项将密钥从 MokNew 变量复制。

从磁盘注册密钥通常是在 shim 无法加载 grub2 并回退到加载 MokManager 时完成的。由于 MokNew 尚不存在，因此您有权在 UEFI 分区上找到该密钥。

以下基于 https://en.opensuse.net.cn/openSUSE:UEFI#Booting_a_custom_kernel。

安全启动不会阻止您使用自编译的内核。您必须使用您自己的证书对其进行签名，并使该证书为固件或 MOK 所知。

在启用安全启动的情况下，在安装过程中不支持添加非收录驱动程序（即，不随 openSUSE Leap 一起提供的驱动程序）。用于 SolidDriver/PLDP 的签名密钥默认不受信任。

以两种不同的方式可以在启用安全启动的情况下在安装过程中安装第三方驱动程序。在这两种情况下

要使用可引导的驱动程序 ISO 将驱动程序密钥注册到 MOK 列表，请按照以下步骤操作

有关更多信息，请参阅 https://drivers.suse.com/doc/Usage/Secure_Boot_Certificate.html。

在安全启动模式下启动时，以下特性适用

在安全启动模式下启动时，以下限制适用