Загрузка РЕД ОС в SecureBoot-режиме

Предварительная подготовка
Настройка UEFI
Проверка статуса Secure Boot в РЕД ОС

Окружение

• Версия ОС: 7.3
• Конфигурация ОС: Рабочая станция

Secure Boot (безопасная загрузка) — это протокол безопасности в рамках спецификации UEFI, предназначенный для обеспечения доверенной цепочки загрузки. Он функционирует путем криптографической проверки цифровой подписи всех загружаемых образов перед их выполнением. Проверка подписи осуществляется с использованием механизмов асимметричной криптографии на основе ключей, хранящихся в защищенном ключевом хранилище системы.

Управление этими ключами реализовано через иерархическую структуру:

1. Platform Key (PK) — ключ платформы, являющийся корнем доверия. Это открытый ключ владельца платформы (например, производителя оборудования). Операции, требующие высшего уровня привилегий (например, смена самого PK или модификация баз данных ключей KEK, db и dbx), должны быть подписаны соответствующим закрытым ключом. Хранилище PK защищено от несанкционированного вмешательства и удаления.

2. Key Exchange Key (KEK) — ключи обмена ключами. Набор открытых ключей, обычно принадлежащих поставщикам операционных систем или другим доверенным сторонам. Подпись соответствующим закрытым ключом из KEK требуется для изменения баз данных подписей (db и dbx). Хранилище KEK защищено от несанкционированного вмешательства.

Для запуска РЕД ОС в SecureBoot-режиме необходимо произвести импорт сертификата в UEFI.

Предварительная подготовка

Для установки сертификата потребуется usb-flash накопитель с файловой системой FAT32, на который должен быть скопирован сертификат ca.der.  Подключите usb-flash накопитель с сертификатом ca.der к ПК.

Настройка UEFI

В данной статье рассмотрен общий случай настройки UEFI, т.к. настройка UEFI для разных производителей материнских плат может отличаться.

Запустите UEFI. Чаще всего для входа в UEFI необходимо нажать функциональную клавишу Delete на стационарных рабочих станциях или функциональную клавишу F1 (F9) на ноутбуках в момент начала загрузки компьютера. Для получения более подробных сведений по настройке необходимо обратиться к документации на используемое оборудование.

Перейдите в Расширенный режим UEFI (Advanced Mode).

В секции Безопасность необходимо активировать Secure Boot, если он выключен.

Далее необходимо переключить значение параметра Secure Boot Customization в custom, для того чтобы UEFI при загрузке считывал не только стандартные сертификаты.

Затем необходимо установить сертификат.

Выберите пункт Authorized Signatures – Append, чтобы добавить к уже существующим сертификатам новый.

После определения вашего устройства необходимо выбрать сам сертификат.

Тип необходимо указать Public Key Certificate.

На данном этапе настройка UEFI завершена – примените изменения и перезагрузите ПК.

Проверка статуса Secure Boot в РЕД ОС

В РЕД ОС проверить, активирован ли Secure Boot, можно командой:

 mokutil --sb-state 

 SecureBoot enabled

Дата последнего изменения: 08.10.2025

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.