1. Oracle Exadataセキュリティ・ガイド
  2. Oracle Exadata Database Machineのセキュリティ機能
  3. システムの起動に使用するバイナリの制限
  4. セキュア・ブートで使用するキーと証明書の管理
  5. mokutilの使用によるセキュア・ブートのキーの追加

2.2.3.1 mokutilの使用によるセキュア・ブートのキーの追加

ベア・メタル・データベース・サーバーおよびKVMホストでは、Machine Owner Key (MOK)ユーティリティ(mokutil)を使用して、セキュア・ブートで使用する新しいキーを追加できます。

mokutilコマンドは、rootユーザーとして実行する必要があります。

mokutil --helpを実行すると、mokutilコマンドに関するその他の詳細を表示できます。

  1. 追加するキーのために、DERフォーマット済のX509証明書ファイルを作成します。

    たとえば、次のコマンド・シーケンスを使用して、新しいキーおよび関連する証明書を作成できます。

    # openssl genpkey -algorithm EC -pkeyopt ec_paramgen_curve:P-256 > my_private_key.pem
# openssl req -x509 -key my_private_key.pem -subj /CN=client.example.com > my_certificate.pem
# openssl x509 -in my_certificate.pem -inform PEM -out my_certificate.der -outform DER
  2. そのキーがすでにアクティブになっているかどうかを確認します。
    # mokutil --test-key my_certificate.der
  3. そのキーが現在アクティブでない場合は、キー証明書をインポートします。
    # mokutil --import my_certificate.der

    プロンプトが表示されたら、MOK管理パスワードを指定します。システムの再起動後にMOK登録を完了する必要があるため、パスワードを覚えておいてください。

    ノート:

    • 必要に応じて、mokutilコマンドを使用し、DER形式のX509証明書ファイルのリストを指定することで、同じパスワードを使用して一度に複数の証明書をインポートできます。次に例を示します: 

      # mokutil --import my_certificate.der my_certificate2.der my_certificate3.der

      複数の証明書をインポートすると、キーは後でMOK管理インタフェースでKey 0Key 1Key 2などとして識別されます。

    • インポートした証明書に問題が見つかった場合は、次を実行して、UEFIセキュア・ブート・キー・データベースにキーが登録される前であればいつでも、インポートした証明書を取り消すことができます:

      # mokutil --revoke-import
  4. 識別目的でキーおよび関連する証明書に関する詳細を次の各ステップで記録します。

    次のコマンドからの出力を記録します:

    # mokutil --list-new
  5. システム・コンソールからシステムを再起動します。

    物理サーバーでは、Integrated Lights Out Manager (ILOM)サブシステムに接続し、ILOMプロンプトから次のコマンドを実行することで、システム・コンソールを表示できます: 

    -> start -script /SP/console

    システム・コンソールへの接続後、rootユーザーとしてログインし、次を実行してシステムを再起動できます: 

    # shutdown -r now
  6. プロンプトが表示されたら、システム・コンソールを確認し、任意のキーを押してMOK管理を実行します。
  7. 「Perform MOK management」画面で、「Enroll MOK」メニュー・オプションを選択します。
  8. 「View key 0」メニュー・オプションを選択し、キーの詳細が登録する新しいキーと一致することを確認します。

    複数のキーをインポートした場合は、「View key 1」「View key 2」などを使用して、すべてのキーの詳細を確認します。

  9. 新しいキーを登録します。
    1. 「Enroll MOK」画面に戻ります。
    2. 「Continue」オプションを選択します。
    3. 「Enroll the key(s)?」ダイアログで「Yes」を選択します。
    4. プロンプトが表示されたら、キー証明書のインポート時に以前指定したMOK管理パスワードを指定します。

    これで、キーはUEFI Secure Bootキー・データベースに登録されます。

  10. 「Perform MOK management」画面で、「Reboot」メニュー・オプションを選択します。
  11. システムの再起動後、次のコマンドからの出力を調べて、新しいキーが登録されていることを確認します。
    # mokutil --list-enrolled

親トピック: セキュア・ブートセキュア・ブートで使用するキーと証明書の管理