少华的博客

分类

Secure Boot 签名认证的大致过程

2018-03-15 10:03 linux

申请 EA 签名证书

需要如实填写公司信息, 签名证书并不便宜, 比如 DigiCert 的三年 $499.

参考: 获取代码签名证书

编译

这一步我们来编译带有签名的 shim 文件, 在 Ubuntu 16.04 64 位系统里操作.

获取源码

$ sudo apt install git
$ git clone --branch 14 https://github.com/rhboot/shim

使用最新的版本, 14

配置编译环境

安装以下依赖包:

  • gcc
  • gnu-efi
  • libelf-dev
  • make
$ sudo apt install gnu-efi:i386 libelf-dev gcc make

生成自己的私䄴

使用 make-certs 脚本生成密钥.

然后将公䄴复制到 shim/pub.cer:

$ cp -v deepin-uefi-ca.der shim/pub.cer

修改 Makefile

14 版里面的 Makefile 对 Ubuntu 系统的支持有点儿小问题, 需要先修正一下:

$ sed -ie '/^EFI_PATH/s|/gnuefi||' -e 's/ --no-undefined$//' Makefile

编译生成 32 位 shim 文件

$ mkdir -v inst32
$ setarch linux32 make ARCH=ia32 VENDOR_CERT_FILE=pub.cer -j4 | tee inst32/build.log
$ setarch linux32 make ARCH=ia32 DESTDIR=inst32 EFIDIR=deepin install | tee inst32/install.log

编译生成 64 位 shim 文件

编译之前清空一下之前的环境:

$ make clean

再编译 64 位的:

$ mkdir -v inst64
$ make VENDOR_CERT_FILE=pub.cer -j4 | tee inst64/build.log
$ make DESTDIR=inst64 EFIDIR=deepin install | tee inst64/install.log

将生成的 shim 文件从 ELF 格式转为 cab 格式

首先安装工具:

$ sudo apt install lcab

现在依次转换32位的和64位的 shim ELF 文件

$ lcab shimx64.efi shimx64-unsigned.cab
$ lcab shimia32.efi shimia32-unsigned.cab

对生成的 shim cab 文件 做签名

先安装 DigiCert 的签名工具

安装 SafeNetAuthenticationClient-x32-x64.exe, 然后插入 USB Key, 打开 SafeNet Authentication Client 应该就可以看到这个 Key 的授权用户了.

更新 winqual.exe 时间标签

使用 key/ 目录里的工具, 具体用法可以参数 key/readme.pdf.

signtool timestamp /t http://timestamp.verisign.com/scripts/timestamp.dll winqual.exe

正常情况下, 会提示:

Successfully timestamped: winqual.exe

签名

signtool sign /a shimia32-unsigned.cab
rename shimia32-unsigned.cab shimia32-signed.cab
signtool sign /a shimx64-unsigned.cab
rename shimx64-unsigned.cab shimx64-signed.cab

测试生成的 shim 文件

参考: UEFI 提交申请的预提交测试

提交 shim 文件

将之前使用EA证书签了名的 shim cab 文件上传到 microsoft sysdev dashboard

review shim

参考: Reviews of shim

给 grub2 签名

首先安装签名工具:

$ sudo apt install sbsigntool

然后生成 grub2 efi 文件:

$ grub2/grub-mkimage -o grubx64-unsigned.efi -O x86_64-efi \
  -p /EFI/deepin ntfs hfs appleldr \
  boot cat efi_gop efi_uga elf fat hfsplus iso9660 linux keylayouts memdisk \
  minicmd part_apple ext2 extcmd xfs xnu part_bsd part_gpt search \
  search_fs_file chain btrfs loadbios loadenv lvm minix minix2 reiserfs \
  memrw mmap msdospart scsi loopback normal configfile gzio all_video efi_gop \
  efi_uga gfxterm gettext echo boot chain eval ls test sleep png gfxmenu \
  linuxefi

上面只是包含了一部分 grub mod, 可以根据需要删减或者追加模块, 要注意的是, linuxefi 这个模块是 必须要包含的.

要注意的是 debian sid 里面包含的 grub2.02+dfsg1-3 这个版本, debian/patches/no_insmod_on_sb.patch 里面加入的以下部分代码是多余的:

 
+#ifdef GRUB_MACHINE_EFI
+  if (grub_efi_secure_boot ())
+    {
+      grub_error (GRUB_ERR_ACCESS_DENIED,
+		  "Secure Boot forbids loading module from %s", filename);
+      return 0;
+    }
+#endif
+

最后, 给 grub2 efi 签名:

$ sbsign --key deepin-uefi-ca.key --cert deepin-uefi-ca.crt --output grubx64.efi grubx64-unsigned.efi

给 kernel 签名

以 vmlinuz-4.15.0-1-amd64 为例:

$ sbsign --key deepin-uefi-ca.key --cert deepin-uefi-ca.crt --output vmlinuz-4.15.0-1-amd64-signed vmlinuz-4.15.0-1-amd64

用 grub2 引导签了名的内核时, 会打印一条消息:

EFI stub: UEFI Secure Boot is enabled.