[Fedora 42]自签名自定义内核，启用安全启动

221 字

1 分钟

[Fedora 42]自签名自定义内核，启用安全启动

2025-08-04

Linux/Fedora

Linux

/

Fedora

为了压住天选5pro上的火龙R9 7940HX，不得不用asus-linux的asusctl，想要启用功耗控制的话还要用移植到fedora的cachyos内核

但是对fedora来说是第三方的cachyos内核是无签名的，只能自签名后导入MOK

使用pesign生成签名密钥#

安装pesign#

1
sudo dnf install pesign

生成签名密钥#

1
sudo openssl req -new -x509 -newkey rsa:2048 -keyout MOK.key -out MOK.crt -nodes -days 3650 -subj "/CN=My Secure Boot Key/"
2

3
sudo openssl x509 -in MOK.crt -out MOK.cer -outform DER

导入密钥到 UEFI#

1
sudo mokutil --import MOK.cer

WARNING
会提示设置密码，稍后导入密钥时会要求输入

重启后自动进入MOK,选择”Enroll MOK”导入密钥

使用sbsign签名内核#

安装sbsigntools#

1
sudo dnf install sbsigntools

签名内核#

1
sudo sbsign --key MOK.key --cert MOK.crt --output /boot/vmlinuz-$(uname -r) /boot/vmlinuz-$(uname -r)
2

3
sudo mv /boot/vmlinuz-$(uname -r).signed /boot/vmlinuz-$(uname -r)