Scroll to navigation

SYSTEMD-SBSIGN(1) systemd-sbsign SYSTEMD-SBSIGN(1)

BEZEICHNUNG

systemd-sbsign - PE-Programme für sicheren EFI-Systemstart signieren

ÜBERSICHT

systemd-sbsign [OPTIONEN…] {BEFEHL}

BESCHREIBUNG

systemd-sbsign kann zum Signieren von PE-Programmen für sicheren EFI-Systemstart (»EFI Secure Boot«) verwandt werden.

BEFEHLE

sign

Signiert das angegebene PE-Programm für den sicheren EFI-Systemstart. Akzeptiert einen Pfad zu einem PE-Programm als sein Argument. Falls das PE-Programm bereits über eine Zertifikatstabelle verfügt, wird die neue Signatur hinzugefügt. Andernfalls wird eine neue Zertifikatstabelle erstellt. Das signierte PE-Programm wird an den mit --output= angegebenen Pfad geschrieben.

Hinzugefügt in Version 257.

OPTIONEN

Die folgenden Optionen werden verstanden:

--output=PFAD

Legt den Pfad fest, unter dem das signierte PE-Programm oder die offline zu signierenden Daten geschrieben werden sollen, wenn die Option --prepare-offline-signing verwandt wird.

Hinzugefügt in Version 257.

--private-key=PFAD/URI, --private-key-source=TYP[:NAME], --certificate=PFAD, --certificate-source=TYP[:NAME]

Setzt den privaten Schlüssel und das Zertifikat des Sicheren Systemstarts, die mit dem Unterbefehl sign verwandt werden sollen. Die Option --certificate= akzeptiert einen Pfad zu einem PEM-kodierten X.509-Zertifikat oder einer URI, die an den mit --certificate-source konfigurierten OpenSSL-Provider weitergegeben wird. Die Option --certificate-source akzeptiert entweder »file« oder »provider«, wobei letzteres von einer bestimmten Provider-Kennzeichnung gefolgt wird, abgetrennt durch einen Doppelpunkt, z.B. »provider:pkcs11«. Die Option --private-key= akzeptiert einen Pfad oder eine URI, die an die OpenSSL-Engine oder den -Provider weitergegeben wird, wie durch --private-key-source= als »Typ:Name«-Tupel festgelegt, wie in »engine:pkcs11«. Die festgelegte OpenSSL-Signier-Engine oder der -Provider wird zum Signieren des PE-Programms verwandt.

Hinzugefügt in Version 257.

--prepare-offline-signing

Wird diese Option angegeben, dann schreibt der Befehl sign die zu signierenden Daten in den mit --output= angegebenen Pfad, anstatt das signierte PE-Programm zu schreiben. Diese Daten können dann separat signiert werden und anschließend kann die Signatur an das PE-Programm mittels der Optionen --signed-data= und --signed-data-signature= angehängt werden.

Hinzugefügt in Version 258.

--signed-data=PFAD, --signed-data-signature=PFAD

Konfiguriert die signierten Daten (wie sie an den mit --output= festgelegten Pfad bei der Verwendung der Option --prepare-offline-signing geschrieben werden) und die entsprechende Signatur für den Befehl sign.

Hinzugefügt in Version 258.

-h, --help

Zeigt einen kurzen Hilfetext an und beendet das Programm.

--version

Zeigt eine kurze Versionszeichenkette an und beendet das Programm.

BEISPIELE

Beispiel 1. Offline-Signatur eines PE-Programms für sicheren EFI-Systemstart

Durch Folgendes können Sie offline systemd-boot(7) für sicheren Systemstart signieren

SD_BOOT="$(find /usr/lib/systemd/boot/efi/ -name "systemd-boot*.efi" | head -n1)"
# Daten extrahieren, die offline signiert werden sollen.
/usr/lib/systemd/systemd-sbsign \


    sign \


    --certificate=secure-boot-certificate.pem \


    --output=signed-data.bin \


    --prepare-offline-signing \


    "$SD_BOOT"
# Daten separat signieren. Dieser Schritt passiert normalerweise separat auf einem getrennten System.
openssl dgst -sha256 -sign secure-boot-private-key.pem -out signed-data.sig signed-data.bin
# Die signierten Daten und ihre Signatur an das systemd-boot-PE-Programm anhängen.
/usr/lib/systemd/systemd-sbsign \


    sign \


    --certificate=secure-boot-certificate.pem \


    --output="$SD_BOOT.signed" \


    --signed-data=signed-data.bin \


    --signed-data-signature=signed-data.sig \


    "$SD_BOOT"

SIEHE AUCH

bootctl(1)

ÜBERSETZUNG

Die deutsche Übersetzung dieser Handbuchseite wurde von Helge Kreutzmann <debian@helgefjell.de> erstellt.

Diese Übersetzung ist Freie Dokumentation; lesen Sie die GNU General Public License Version 3 oder neuer bezüglich der Copyright-Bedingungen. Es wird KEINE HAFTUNG übernommen.

Wenn Sie Fehler in der Übersetzung dieser Handbuchseite finden, schicken Sie bitte eine E-Mail an die Mailingliste der Übersetzer: debian-l10n-german@lists.debian.org.

systemd 258~rc3