Управление доверенными ключами MOK в системах с Secure Boot с помощью mokutil

Описание утилиты mokutil
Примеры работы с утилитой

Окружение

• Версия ОС: 8
• Конфигурация ОС: Рабочая станция
• Редакция ОС: Стандартная, Образовательная
• Версия ПО: mokutil-2:0.6.0-1

mokutil — утилита командной строки, предназначенная для управления ключами владельца компьютера (MOK, Machine Owner Key) в системах, поддерживающих функцию Secure Boot. Ключ владельца компьютера (МОК, Machine Owner Key) — функция безопасности, позволяющая пользователям добавлять собственные доверенные ключи подписи в конфигурацию безопасной загрузки системы Secure Boot. Доверенные ключи предоставляются производителями оборудования или разработчиками ОС, что позволяет системе доверять пользовательскому ПО и запускать его даже при включенной безопасной загрузке.

Процесс работы МОК состоит из нескольких этапов:

1. Генерация пары открытого и закрытого ключей.
2. Подписание программного обеспечения или модуля с помощью закрытого ключа.
3. Регистрация открытого ключа в системе МОК с помощью mokutil.
4. Подтверждение регистрации ключа в окне управления МОК.

Описание утилиты mokutil

По умолчанию утилита mokutil предустановлена в систему РЕД ОС.

Синтаксис утилиты выглядит следующим образом:

mokutil <опции_команды>

Часто используемыми опциями команды mokutil являются:

• -l, --list-enrolled — вывести список зарегистрированных ключей МОК;

• -N, --list-new — отобразить ключи, ожидающие регистрации;

• -D, --list-delete — отобразить ключи, ожидающие удаления;

• -i, --import <путь> — импорт ключа в формате DER, <путь> — путь к файлу ключа. Ключи МОК, созданные пользователем, обычно хранятся в домашнем каталоге пользователя;

• -d, --delete <путь> — удалить ключ из базы данных, <путь> — путь к файлу ключа;

• -x, --export — экспорт зарегистрированных ключей МОК;

• -p, --password — установить пароль для подтверждения операций;

• -c, --clear-password — очистить установленный ранее пароль;

• --disable-validation — отключить проверку подписей (signature validation);

• --enable-validation — включить проверку подписей (signature validation);

• --sb-state — вывести текущее состояние Secure Boot (включено/выключено).

Полную информацию об использовании утилиты mokutil можно посмотреть в справке:

man mokutil

Примеры работы с утилитой

Для установки пароля, защищающего операции и управление ключами, выполните команду:

mokutil --password

Для импорта нового ключа в формате .der в список МОК выполните команду:

mokutil --import /home/user/MOK-0001.der

Перезагрузите систему и подтвердите действия в окне управления МОК.

Для удаления ключа из списка МОК выполните команду:

mokutil --delete /home/user/MOK-0001.der

Перезагрузите систему и подтвердите действия в окне управления МОК.

Для проверки состояния режима Secure Boot выполните команду:

mokutil --sb-state

SecureBoot disabled
Platform is in Setup Mode

где:

• SecureBoot disabled — режим безопасной загрузки отключен;

• Platform is in Setup Mode — платформа находится в режиме настройки.

Подробную информацию по загрузке системы в безопасном режиме можно просмотреть в нашей инструкции «Загрузка РЕД ОС в SecureBoot-режиме».

Дата последнего изменения: 08.05.2026

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.