oracular (1) ukify.1.gz

Provided by: manpages-de_4.23.1-1_all bug

BEZEICHNUNG

       ukify - Komponenten zu einem einzigen, vereinigten Kernelabbild für UEFI-Systeme kombinieren

ÜBERSICHT

       ukify [OPTIONEN…] build

       ukify [OPTIONEN…] genkey

       ukify [OPTIONEN…] inspect DATEI…

BESCHREIBUNG

       ukify ist ein Werkzeug, dessen Hauptzweck die Kombination von Komponenten (normalerweise einem Kernel,
       einer Initrd und einem UEFI-Startrumpf) ist, um ein Vereinigtes Kernelabbild (UKI)[1] zu erstellen – ein
       PE-Programm, das durch die Firmware ausgeführt werden kann, um einen eingebetteten Linux-Kernel zu
       starten. Siehe systemd-stub(7) für Details über den Rumpf.

BEFEHLE

       Die folgenden Befehle werden verstanden:

   build
       Dieser Befehl erstellt ein vereinigtes Kernelabbild. Die zwei zentralen Optionen, die für den Unterbefehl
       build angegeben werden sollten, sind Linux=/--linux= und Initrd=/--initrd=. Initrd= akzeptiert mehrere,
       durch Leerraum getrennte Pfade und --initrd= kann mehrfach angegeben werden.

       Es werden zusätzliche Abschnitte in den UKI eingefügt, entweder automatisch oder nur falls eine bestimmte
       Option bereitgestellt wird. Siehe die nachfolgende Besprechung von Microcode=/--microcode=,
       Cmdline=/--cmdline=, OSRelease=/--os-release=, DeviceTree=/--devicetree=, Splash=/--splash=,
       PCRPKey=/--pcrpkey=, Uname=/--uname=, SBAT=/--sbat= und --section=.

       ukify kann auch zum Zusammenbau eines PE-Programmabbilds verwandt werden, das nicht ausführbar ist, aber
       zusätzliche Daten enthält, beispielsweise zusätzliche Kernelbefehlszeileneinträge.

       Falls über die Optionen PCRPrivateKey=/--pcr-private-key= und PCRPublicKey=/--pcr-public-key=
       PCR-Signierschlüssel bereitgestellt werden, werden PCR-Werte, die nach dem Systemstart mit dem
       angegebenen Kernel, der Initrd und anderen Abschnitten vorkommen, berechnet, signiert und in das UKI
       eingebettet. Diese Berechnung und Signatur erfolgt mit systemd-measure(1).

       The calculation of PCR values is done for specific boot phase paths. Those can be specified with the
       Phases=/--phases= option. If not specified, the default provided by systemd-measure is used. It is also
       possible to specify the PCRPrivateKey=/--pcr-private-key=, PCRPublicKey=/--pcr-public-key=, and
       Phases=/--phases= arguments more than once. Signatures will then be performed with each of the specified
       keys. On the command line, when both --phases= and --pcr-private-key= are used, they must be specified
       the same number of times, and then the n-th boot phase path set will be signed by the n-th key. This can
       be used to build different trust policies for different phases of the boot. In the config file,
       PCRPrivateKey=, PCRPublicKey=, and Phases= are grouped into separate sections, describing separate boot
       phases. If SigningEngine=/--signing-engine= is specified, then the private keys arguments will be passed
       verbatim to OpenSSL as URIs, and the public key arguments will be loaded as X.509 certificates, so that
       signing can be performed with an OpenSSL engine.

       Falls ein SecureBoot-Signaturschlüssel über die Option SecureBootPrivateKey=/--secureboot-private-key=
       bereitgestellt ist, wird das resultierende PE-Programm als Ganzes damit signiert. Damit wird ermöglicht,
       dass SecureBoot dem gesamten UKI vertraut. Siehe auch die Erläuterung der automatischen Registrierung in
       systemd-boot(7).

       Falls der Rumpf oder der Kernel einen Abschnitt ».sbat« enthält, werden sie im UKI zusammengeführt, so
       dass Widerrufsaktualisierungen, die eines davon betreffen, berücksichtigt werden, wenn das UKI vom Shim
       geladen wird. Für weitere Informationen zu SBAT siehe die Shim-Dokumentation[2].

   genkey
       Dieser Befehl erstellt die Schlüssel für die PCR-Signatur und die Schlüssel und Zertifikate, die für das
       SecureBoot-Signieren verwandt werden. Die gleichen Konfigurationsoptionen, die bestimmen, welche
       Schlüssel und in welchen Pfaden für die Signatur benötigt werden, wenn build verwandt wird, bestimmen
       hier, welche Schlüssel erstellt werden. Siehe die nachfolgende Diskussion von
       PCRPrivateKey=/--pcr-private-key=, PCRPublicKey=/--pcr-public-key= und
       SecureBootPrivateKey=/--secureboot-private-key=.

       Die Ausgabedatei darf nicht existieren.

   inspect
       Zeigt Informationen über die Abschnitte in dem oder den angegebene(n) Programme(n). Falls --all angegeben
       ist, werden alle Abschnitte angezeigt. Falls andernfalls die Option --section= mindestens einmal
       angegeben ist, werden nur diese Abschnitte angezeigt. Andernfalls werden nur gut bekannte Abschnitte
       angezeigt, die typischwerweise in eine UKI eingebunden werden, angezeigt. Für jeden Abschnitt wird ihr
       Name, ihre Größe und ihr SHA256-Hash angezeigt. Für Textabschnitte werden die Inhalte angezeigt.

       Siehe auch die Beschreibung von -j/--json= und --section=.

       Other tools that may be useful for inspect UKIs: llvm-objdump(1)  -p and pe-inspect.

KONFIGURATIONSEINSTELLUNGEN

       Einstellungen können in Konfigurationsdateien vorkommen (die Syntax mit EineEinstellung=Wert) und auf der
       Befehlszeile (die Syntax mit --eine-Einstellung=Wert). Für einige Befehlszeilenparameter ist auch eine
       einbuchstabige Kurzform verfügbar. In den Konfigurationsdateien muss die Einstellung in dem geeigneten
       Abschnitt sein, daher sind die Beschreibungen nachfolgend nach Abschnitten gruppiert. Wenn die gleiche
       Einstellung in der Konfigurationsdatei und auf der Befehlszeile vorkommt, hat im Allgemeinen die
       Befehlszeileneinstellung die höhere Priorität und überschreibt die Konfigurationsdateieinstellungen
       vollständig. Falls sich eine Einstellung anders verhält, ist dies nachfolgend beschrieben.

       Falls keine Konfigurationsoption mit der Option --config=PFAD bereitgestellt wird, wird ukify versuchen,
       nach einer Standardkonfigurationsdatei in den folgenden Pfaden in dieser Reihenfolge zu suchen:
       /etc/systemd/ukify.conf, /run/systemd/ukify.conf, /usr/local/lib/systemd/ukify.conf und
       /usr/lib/systemd/ukify.conf und dann die erste gefundene laden. ukify wird normal fortfahren, falls keine
       Konfigurationsdatei angegeben und keine in der Vorgabe gefunden wurde.

       Die positionsabhängigen Argumente LINUX und INITRD oder die äquivalenten Einstellungen Linux= und Initrd=
       sind optional. Falls mehr als ein Initrd angegeben ist, werden sie alle in einen einzigen PE-Abschnitt
       kombiniert. Dies ist zum Beispiel nützlich, um der eigentlichen Initrd Microcode voranzustellen.

       Die folgenden Optionen und Einstellungen werden verstanden:

   Reine Befehlszeilenoptionen
       --config=PFAD
           Lädt die Konfiguration aus der angegebenen Konfigurationsdatei. Im Allgemeinen sind in der
           Konfigurationsdatei angegebene Einstellungen gegenüber den Einstellungen als Optionen nachrangig. In
           den Fällen, in denen die Befehlszeilenoption die Einstellung aus der Konfigurationsdatei nicht
           vollständig außer Kraft setzt, ist dies in der Beschreibung der entsprechenden Optionen explizit
           erwähnt.

           Hinzugefügt in Version 254.

       --measure, --no-measure
           Aktiviert oder deaktiviert einen Aufruf von systemd-measure(1), um vorberechnete PCR-Werte
           auszugeben. Standardmäßig falsch.

           Hinzugefügt in Version 253.

       --section=NAME:TEXT|@PFAD, --section=NAME:text|binary[@PFAD]
           Für alle Unterbefehle außer inspect wird die erste Syntax verwandt. Gibt einen beliebigen
           zusätzlichen Abschnitt »NAME« an. Das Argument kann eine wörtliche Zeichenkette sein oder @, gefolgt
           von einem Pfadnamen. Diese Option kann mehr als einmal angegeben werden. Jeder auf diese Weise
           angegebene Abschnitt wird (in der Reihenfolge) vor dem Abschnitt ».linux«, der immer der letzte ist,
           eingefügt.

           Für den Unterbefehl inspect wird die zweite Syntax verwandt. Der Abschnitt NAME wird (falls gefunden)
           untersucht. Falls das zweite Argument »text« ist, dann wird der Inhalt angezeigt. Falls das dritte
           Argument angegeben ist, werden die Inhalte in die Datei PFAD gespeichert.

           Beachten Sie, dass der Name unverändert verwandt wird und falls der Abschnittsname mit einem Punkt
           beginnen sollte, er in NAME aufgenommen werden muss.

           Hinzugefügt in Version 253.

       --tools=VERZ
           Gibt eines oder mehrere Verzeichnisse mit Hilfswerkzeugen an. ukify wird zuerst in diesen
           Verzeichnissen nach Hilfswerkzeugen schauen und, falls sie dort nicht gefunden werden, sie auf die
           übliche Weise aus $PATH laden.

           Hinzugefügt in Version 253.

       --output=DATEINAME
           Der Ausgabedateiname. Falls nicht angegeben, wird der Name des Arguments LINUX mit der Endung
           ».unsigned.efi« oder ».signed.efi« verwandt, abhängig davon, ob die Signatur für SecureBoot
           durchgeführt wurde.

           Hinzugefügt in Version 253.

       --summary
           Gibt eine Zusammenfassung der geladenen Konfiguration aus und beendet das Programm. Dies ist
           nützlich, um zu überprüfen, wie die Optionen aus der Konfigurationsdatei und der Befehlszeile
           kombiniert werden.

           Hinzugefügt in Version 254.

       --all
           Gibt (mit dem Unterbefehl inspect) alle Abschnitte aus.

           Hinzugefügt in Version 255.

       --json
           Erstellt (mit dem Unterbefehl inspect) JSON-Ausgabe.

           Hinzugefügt in Version 255.

       -h, --help
           Zeigt einen kurzen Hilfetext an und beendet das Programm.

       --version
           Zeigt eine kurze Versionszeichenkette an und beendet das Programm.

   Abschnitt [UKI]
       Linux=LINUX, --linux=LINUX
           Ein Pfad zu dem Kernelprogramm.

           Hinzugefügt in Version 254.

       Initrd=INITRD…, --initrd=LINUX
           Null oder mehr Initrd-Pfade. In der Konfigurationsdatei werden Einträge durch Leerraum getrennt. Die
           Initrds werden in der Reihenfolge der Angabe kombiniert, wobei die in der Konfigurationsdatei
           angegebenen Initrds zuerst kommen.

           Hinzugefügt in Version 254.

       Microcode=UCODE, --microcode=UCODE
           Path to initrd containing microcode updates. If not specified, the section will not be present.

           Hinzugefügt in Version 256.

       Cmdline=TEXT|@PFAD, --cmdline=TEXT|@PFAD
           Die Kernelbefehlszeile (der Abschnitt ».cmdline«). Das Argument kann eine wörtliche Zeichenkette sein
           oder »@«, gefolgt von einem Pfadnamen. Falls dies nicht angegeben ist, wird keine Befehlszeile
           eingebettet.

           Hinzugefügt in Version 253.

       OSRelease=TEXT|@PFAD, --os-release=TEXT|@PFAD
           Die Betriebssystem-Veröffentlichungsbeschreibung (der Abschnitt ».osrel«). Das Argument kann eine
           wörtliche Zeichenkette oder »@«, gefolgt von einem Pfadnamen, sein. Falls dies nicht angegeben ist,
           wird die Datei os-release(5) vom Rechnersystem genommen.

           Hinzugefügt in Version 253.

       DeviceTree=PFAD, --devicetree=PFAD
           Die Devicetree-Beschreibung (der Abschnitt ».dtb«). Das Argument ist ein Pfad zu einer kompilierten
           binären DeviceTree-Datei. Falls dies nicht angegeben ist, wird der Abschnitt nicht vorhanden sein.

           Hinzugefügt in Version 253.

       Splash=PFAD, --splash=PFAD
           Ein Bild, das während des Systemstarts angezeigt werden soll (der Abschnitt ».splash«). Das Argument
           ist ein Pfad zu einer BMP-Datei. Falls dies nicht angegeben ist, wird der Abschnitt nicht vorhanden
           sein.

           Hinzugefügt in Version 253.

       PCRPKey=PFAD, --pcrpkey=PFAD
           Ein Pfad zu einem öffentlichen Schlüssel, der im Abschnitt ».pcrpkey« eingebettet werden soll. Falls
           nicht angegeben und genau ein Argument PCRPublicKey=/--pcr-public-key= vorhanden ist, wird dieser
           Schlüssel verwandt. Andernfalls wird dieser Abschnitt nicht vorhanden sein.

           Hinzugefügt in Version 253.

       Uname=VERSION, --uname=VERSION
           Gibt die Kernelversion an (wie in uname -r, den Abschnitt ».uname«). Falls nicht angegeben, wird
           versucht, die Versionszeichenkette aus dem Kernelabbild auszulesen. Es wird empfohlen, sie explizit
           zu übergeben, wenn sie bekannt ist, da das Auslesen auf Heuristiken basiert und nicht sehr
           zuverlässig ist. Falls nicht angegeben und das Auslesen fehlschlägt, wird der Abschnitt nicht
           vorhanden sein.

           Hinzugefügt in Version 253.

       PCRBanks=PFAD, --pcr-banks=PFAD
           Eine Kommata- oder Leerraum-getrennte Liste von PCR-Bänken, für die eine Richtlinie signiert werden
           soll. Falls nicht vorhanden, werden alle bekannten Bänke verwandt (»sha1«, »sha256«, »sha384«,
           »sha512«). Dies wird fehlschlagen, wenn das vom System nicht unterstützt wird.

           Hinzugefügt in Version 253.

       SecureBootSigningTool=SIGNIERER, --signtool=SIGNIERER
           Ob »sbsign« oder »pesign« verwandt werden soll. Abhängig von dieser Wahl werden verschiedene
           Parameter benötigt, um ein Abbild zu signieren. Standardmäßig »sbsign«.

           Hinzugefügt in Version 254.

       SecureBootPrivateKey=SB_SCHLÜSSEL, --secureboot-private-key=SB_SCHLÜSSEL
           Ein Pfad zu einem privaten Schlüssel, der zum Signieren des resultierenden Programms verwandt wird.
           Falls die Option SigningEngine=/--signing-engine= verwandt wird, kann dies auch eine
           Engine-spezifische Festsetzung sein. Diese Option wird von
           SecureBootSigningTool=sbsign/--signtool=sbsign benötigt.

           Hinzugefügt in Version 253.

       SecureBootCertificate=SB_ZERT, --secureboot-certificate=SB_ZERT
           Ein Pfad zu einem Zertifikat, das zum Signieren des resultierenden Programms verwandt wird. Falls die
           Option SigningEngine=/--signing-engine= verwandt wird, kann dies auch eine Engine-spezifische
           Festsetzung sein. Diese Option wird von SecureBootSigningTool=sbsign/--signtool=sbsign benötigt.

           Hinzugefügt in Version 253.

       SecureBootCertificateDir=SB_PFAD, --secureboot-certificate-dir=SB_PFAD
           Ein Pfad zu einem NSS-Zertifikatsdatenbankverzeichnis, das zum Signieren des resultierenden Programms
           verwandt wird. Wird wirksam, wenn SecureBootSigningTool=pesign/--signtool=pesign verwandt wird.
           Standardmäßig /etc/pki/pesign.

           Hinzugefügt in Version 254.

       SecureBootCertificateName=SB_ZERTNAME, --secureboot-certificate-name=SB_ZERTNAME
           Der Name des NSS-Zertifikatsdatenbankeintrags, der zur Signierung des entstehenden Programms verwandt
           werden soll. Diese Option wird von SecureBootSigningTool=pesign/--signtool=pesign verlangt.

           Hinzugefügt in Version 254.

       SecureBootCertificateValidity=TAGE, --secureboot-certificate-validity=TAGE
           Gültigkeitsdauer (in Tagen) für ein durch genkey erstelltes Zertifikat. Standardmäßig 3650, d.h. 10
           Jahre.

           Hinzugefügt in Version 254.

       SigningEngine=ENGINE, --signing-engine=ENGINE
           Eine »Engine« zum Signieren des resultierenden Programms. Diese Option wird derzeit unverändert an
           die Option --engine= von sbsign(1) weitergegeben.

           Hinzugefügt in Version 253.

       SignKernel=LOGISCH, --sign-kernel, --no-sign-kernel
           Setzt die Erkennung, ob das Linux-Programm selbst vor dem Einbetten in das kombinierte Abbild
           signiert werden soll, außer Kraft. Falls nicht angegeben, wird es signiert, falls ein
           SecureBoot-Signaturschlüssel über die Option SecureBootPrivateKey=/--secureboot-private-key=
           bereitgestellt wird und das Programm noch nicht signiert wurde. Falls --sign-kernel wahr ist und das
           Programm bereits signiert wurde, wird die Signatur trotzdem angehängt.

           Hinzugefügt in Version 253.

       SBAT=TEXT|@PFAD, --sbat=TEXT|@PFAD
           Dem UKI oder der Ergänzung zugeordnete SBAT-Metadaten. SBAT-Richtlinien sind zum Widerruf von Gruppen
           von UKIs oder Ergänzungen mit einer einzelnen, statischen Richtlinienaktualisierung nützlich, die
           keinen Platz in DBX/MOKX belegt. Falls nicht händisch angegeben, wird ein Standardmetadateneintrag
           bestehend aus »uki,1,UKI,uki,1,https://uapi-group.org/specifications/specs/unified_kernel_image/" für
           UKIs und "uki-addon,1,UKI
           Addon,addon,1,https://www.freedesktop.org/software/systemd/man/latest/systemd-stub.html" für
           Ergänzungen verwandt, um sicherzustellen, dass es immer möglich ist, sie zu widerrufen. Für weitere
           Informationen über SBAT siehe die Shim-Dokumentation[2].

           Hinzugefügt in Version 254.

   [PCRSignature:NAME] Abschnitt
       In der Konfigurationsdatei werden diese Optionen nach Abschnitten gruppiert. Auf der Befehlszeile müssen
       sie in der gleichen Reihenfolge angegeben werden. Die in beiden Quellen angegebenen Abschnitte werden
       kombiniert.

       PCRPrivateKey=PFAD, --pcr-private-key=PFAD
           Ein privater Schlüssel zum Signieren von PCR-Richtlinien. Auf der Befehlszeile darf diese Option mehr
           als einmal angegeben werden. Dann werden mehrere Signaturen erstellt.

           Hinzugefügt in Version 253.

       PCRPublicKey=PFAD, --pcr-public-key=PFAD
           Ein öffentlicher Schlüssel, der zum Signieren von PCR-Richtlinien verwandt wird.

           Auf der Befehlszeile darf diese Option mehr als einmal angegeben werden, ähnlich wie die Option
           --pcr-private-key=. Falls nicht vorhanden werden die öffentlichen Schlüssel aus den privaten
           Schlüsseln abgeleitet. Falls auf der Befehlszeile vorhanden, muss diese Option genauso oft wie die
           Option --pcr-private-key= angegeben werden.

           Hinzugefügt in Version 253.

       Phases=LISTE, --phases=LISTE
           Eine durch Kommata oder Leerzeichen getrennte Liste von Doppelpunkt getrennten Phasenpfaden, für die
           eine Richtlinie signiert werden soll. Jede Gruppe von Systemstartphasenpfaden wird mit dem
           entsprechenen privaten Schlüssel signiert. Falls nicht vorhanden, wird die Vorgabe von
           systemd-measure(1) verwandt.

           Wenn dieses Argument auf der Befehlszeile vorhanden ist, muss es genauso oft wie die Option
           --pcr-private-key= vorkommen.

           Hinzugefügt in Version 253.

BEISPIELE

       Beispiel 1. Minimaler Aufruf

           $ ukify build \
                 --linux=/lib/modules/6.0.9-300.fc37.x86_64/vmlinuz \
                 --initrd=/ein/Pfad/initramfs-6.0.9-300.fc37.x86_64.img \
                 --cmdline='quiet rw'

       Dies erstellt ein unsigniertes UKI ./vmlinuz.unsigned.efi.

       Beispiel 2. Mit allem Schnickschnack

           $ ukify build \
                 --linux=/lib/modules/6.0.9-300.fc37.x86_64/vmlinuz \
                 --initrd=early_cpio \
                 --initrd=/ein/Pfad/initramfs-6.0.9-300.fc37.x86_64.img \
                 --sbat='sbat,1,SBAT Version,sbat,1,https://github.com/rhboot/shim/blob/main/SBAT.md
                 uki.author.myimage,1,UKI for System,uki.author.myimage,1,https://uapi-group.org/specifications/specs/unified_kernel_image/' \
                 --pcr-private-key=pcr-private-initrd-key.pem \
                 --pcr-public-key=pcr-public-initrd-key.pem \
                 --phases='enter-initrd' \
                 --pcr-private-key=pcr-private-system-key.pem \
                 --pcr-public-key=pcr-public-system-key.pem \
                 --phases='enter-initrd:leave-initrd enter-initrd:leave-initrd:sysinit \
                           enter-initrd:leave-initrd:sysinit:ready' \
                 --pcr-banks=sha384,sha512 \
                 --secureboot-private-key=sb.key \
                 --secureboot-certificate=sb.cert \
                 --sign-kernel \
                 --cmdline='quiet rw rhgb'

       Dies erstellt ein signiertes UKI ./vmlinuz.signed.efi. Der Initrd-Abschnitt enthält zwei
       aneinandergehängte Teile, early_cpio und initramfs-6.0.9-300.fc37.x86_64.img. Die in dem Abschnitt
       ».pcrsig« eingebettete Richtlinie wird für die Initrd mit dem Schlüssel pcr-private-initrd-key.pem
       signiert (die Phase enter-initrd) und für das Hauptsystem (Phase leave-initrd, sysinit, ready) mit dem
       Schlüssel pcr-private-system-key.pem. Das Linux-Programm und das resultierende kombinierte Abbild wird
       mit dem SecureBoot-Schlüssel sb.key signiert.

       Beispiel 3. Mit allem Schnickschnack, über eine Konfigurationsdatei

       Dies ist das gleiche wie das vorherige Beispiel, diesmal wird die Konfiguration aber in einer Datei
       gespeichert:

           $ cat ukify.conf
           [UKI]
           Initrd=early_cpio
           Cmdline=quiet rw rhgb

           SecureBootPrivateKey=sb.key
           SecureBootCertificate=sb.cert
           SignKernel=yes
           PCRBanks=sha384,sha512

           [PCRSignature:initrd]
           PCRPrivateKey=pcr-private-initrd-key.pem
           PCRPublicKey=pcr-public-initrd-key.pem
           Phases=enter-initrd

           [PCRSignature:system]
           PCRPrivateKey=pcr-private-system-key.pem
           PCRPublicKey=pcr-public-system-key.pem
           Phases=enter-initrd:leave-initrd
                  enter-initrd:leave-initrd:sysinit
                  enter-initrd:leave-initrd:sysinit:ready

           $ ukify -c ukify.conf build \
                   --linux=/lib/modules/6.0.9-300.fc37.x86_64/vmlinuz \
                   --initrd=/ein/Pfad/initramfs-6.0.9-300.fc37.x86_64.img

       Eine »initrd« (early_cpio) wird in der Konfigurationsdatei angegeben und die andere Initrd
       (initramfs-6.0.9-300.fc37.x86_64.img) wird auf der Befehlszeile angegeben. Dies könnte beispielsweise
       nützlich sein, wenn die erste Initrd Mikrocode für die CPU enthält und bei Änderungen der Kernelversion
       nicht aktualisiert werden muss, anders als die eigentliche Initrd.

       Beispiel 4. Kernelbefehlszeile, zusätzlicher PE

           ukify build \
                 --secureboot-private-key=sb.key \
                 --secureboot-certificate=sb.cert \
                 --cmdline='debug' \
                 --sbat='sbat,1,SBAT Version,sbat,1,https://github.com/rhboot/shim/blob/main/SBAT.md
                 uki-addon.author,1,UKI Addon for System,uki-addon.author,1,https://www.freedesktop.org/software/systemd/man/systemd-stub.html'
                 --output=debug.cmdline

       Dies erstellt ein signiertes PE-Programm, das den zusätzlichen Kernelbefehlszeilenparameter »debug« mit
       SBAT-Metadaten, die sich auf den Eigentümer der Ergänzung beziehen, enthält.

       Beispiel 5. Signierrichtlinien entscheiden und Zertifikate und Schlüssel erstellen

       Zuerst wird eine Konfigurationsdatei erstellt, die angibt, welche Signaturen erstellt werden sollen:

           # cat >/etc/kernel/uki.conf <<EOF
           [UKI]
           SecureBootPrivateKey=/etc/kernel/secure-boot.key.pem
           SecureBootCertificate=/etc/kernel/secure-boot.cert.pem

           [PCRSignature:initrd]
           Phases=enter-initrd
           PCRPrivateKey=/etc/kernel/pcr-initrd.key.pem
           PCRPublicKey=/etc/kernel/pcr-initrd.pub.pem

           [PCRSignature:system]
           Phases=enter-initrd:leave-initrd enter-initrd:leave-initrd:sysinit
                  enter-initrd:leave-initrd:sysinit:ready
           PCRPrivateKey=/etc/kernel/pcr-system.key.pem
           PCRPublicKey=/etc/kernel/pcr-system.pub.pem
           EOF

       Als nächstes können die Zertifikate und Schlüssel erstellt werden:

           # ukify genkey --config=/etc/kernel/uki.conf
           Writing SecureBoot private key to /etc/kernel/secure-boot.key.pem
           Writing SecureBoot certificate to /etc/kernel/secure-boot.cert.pem
           Writing private key for PCR signing to /etc/kernel/pcr-initrd.key.pem
           Writing public key for PCR signing to /etc/kernel/pcr-initrd.pub.pem
           Writing private key for PCR signing to /etc/kernel/pcr-system.key.pem
           Writing public key for PCR signing to /etc/kernel/pcr-system.pub.pem

       (Beide Aktionen müssen als Root durchgeführt werden, um Schreibzugriff auf /etc/kernel/ zu erlauben.)

       Nachfolgende Aufrufe, die die Konfigurationsdatei (ukify build --config=/etc/kernel/uki.conf) verwenden,
       werden diese Zertifikats- und Schlüsseldateien verwenden. Beachten Sie, dass
       kernel-install(8)-Erweiterung 60-ukify.install standardmäßig /etc/kernel/uki.conf verwendet. Daher werden
       nach der Erstellung dieser Datei bei der Installation von Kerneln, die mittels kernel-install einen UKI
       auf der lokalen Maschine erstellen, die Signatur mittels dieser Konfiguration erfolgen.

SIEHE AUCH

       systemd(1), systemd-stub(7), systemd-boot(7), systemd-measure(1), systemd-pcrphase.service(8)

ANMERKUNGEN

        1. Vereinigtes Kernelabbild (UKI)
           https://uapi-group.org/specifications/specs/unified_kernel_image/

        2. Shim-Dokumentation
           https://github.com/rhboot/shim/blob/main/SBAT.md

ÜBERSETZUNG

       Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

       Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3
       ⟨https://www.gnu.org/licenses/gpl-3.0.html⟩ oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE
       HAFTUNG übernommen.

       Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die
       Mailingliste der Übersetzer ⟨debian-l10n-german@lists.debian.org⟩.