关于安全启动、MOK签名问题

[云海幻梦]

1、是不是到目前为止所有的ubuntu桌面版本都需要禁用安全启动后再进行安装？！如果按照shim已经自签名，其它模块只对shim注册的说法成立，应该不禁用安全启动系统也可以安装成功？！
2、nvidia显卡驱动安装，是在禁用安全启动模式下还是在开启安全启动模式下会自动跳出蓝色背景MOK管理模块签名注册界面？！
3、签名的一些秘钥信息最前段物理储存在哪个位置？是每次重新加载吗？因为第一次由于mok选择错误第二次重装系统、驱动也没用，怀疑秘钥信息在efi分区或主板单独芯片，所以单独重装系统分区无效，第一次由于mok选择错误的错误注册信息依然保存在某个位置？！

[云海幻梦]

ubuntu22.04

[astolia]

1、从10年前的12.10/12.04.2开始就不需要禁用安全启动再安装了
2、mok功能并不依赖安全启动。启用与否不影响它显示
3、ubuntu安装时创建私钥和证书，放在 /var/lib/shim-signed/mok/ 下面。用mokutil --import/--delete来将证书导入到bios或删除。主板bios里一般应该有相关的管理项

[云海幻梦]

谢谢版主大人，很多好久不得的困惑豁然开朗，就是登入论坛刷新有点慢，所有linux相关的论坛里这个论坛更新算是快的了，其他论坛最后信息都停留在19或20左右

[云海幻梦]

请问类似这种命令sudo openssl req -new -x509 -newkey rsa:2048 -keyout ~/driver-signing.key -outform DER -out ~/driver-signing.der -nodes -days 36500 -subj "/CN=Private Driver Signing"

driver-signing.key与driver-signing.der是同一个私钥的不同格式还是前面一个是私钥后面是公钥？

[astolia]

去查manpage嘛

代码： 全选

man openssl-req

openssl req是用来处理证书相关事务的。-keyout指定输出私钥的位置，-out指定输出证书的位置

[云海幻梦]

谢谢版主，一点点在学，先把常用的命令都上机练习一遍，同时把架构学起来

[云海幻梦]

-out filename
This specifies the output filename to write to or standard output
by default.
有时看英文理解比较模糊，比如这个只说输出文件

[astolia]

-out filename
This specifies the output filename to write to or standard output
by default.
有时看英文理解比较模糊，比如这个只说输出文件

从头看

NAME
openssl-req - PKCS#10 certificate request and certificate generating command

[云海幻梦]

OK