Scroll to navigation

SYSTEMD-SBSIGN(1) systemd-sbsign SYSTEMD-SBSIGN(1)

NOM

systemd-sbsign – Signature des binaires PE pour l’amorçage sécurisé EFI

SYNOPSIS

systemd-sbsign [OPTIONS...] {COMMANDE}

DESCRIPTION

systemd-sbsign peut être utilisé pour signer les binaires PE (Portable Executable) pour l’amorçage sécurisé EFI.

COMMANDES

sign

Signer le binaire indiqué pour l’amorçage sécurisé EFI. Cette option prend un chemin de binaire PE comme argument. Si ce binaire possède déjà une table de certificats, la nouvelle signature y est ajoutée. Sinon, une nouvelle table de certificats est créée. Le binaire PE signé sera écrit dans le chemin spécifié par l’option --output=.

Ajouté dans la version 257.

OPTIONS

Les options suivantes sont comprises :

--output=CHEMIN

Cette option précise le chemin où écrire le binaire PE signé, ou les données à signer hors-ligne, lors de l’utilisation de l’option --prepare-offline-signing.

Ajouté dans la version 257.

--private-key=CHEMIN/URI, --private-key-source=TYPE[:NOM], --certificate=CHEMIN, --certificate-source=TYPE[:NOM]

Définir les clé et certificat privés pour l’amorçage sécurisé pour une utilisation avec la commande sign. L’option --certificate= prend par défaut un chemin de certificat X.509 encodé PEM ou un URI qui est passé au fournisseur OpenSSL configuré avec --certificate-source. L’option --certificate-source prend un « fichier » ou un « fournisseur », ce dernier étant suivi d’un identifiant spécifique au fournisseur, séparé par un deux-points, par exemple, « fournisseur:pkcs11 ». L’option --private-key= prend un chemin ou un URI qui sera passé au fournisseur ou au moteur OpenSSL, comme spécifié par --private-key-source= sous forme de paire « type:nom », par exemple, « moteur:pkcs11 ». Le fournisseur ou le moteur de signature OpenSSL spécifié sera utilisé pour signer le binaire PE.

Ajouté dans la version 257.

--prepare-offline-signing

Quand cette option est indiquée, la commande sign écrit les données à signer dans le chemin spécifié par l’option --output= au lieu d’écrire le binaire PE signé. Ces données peuvent être signées par un moyen externe, après quoi la signature pourra être attachée au binaire PE en utilisant les options --signed-data= et --signed-data-signature=.

Ajouté dans la version 258.

--signed-data=CHEMIN, --signed-data-signature=CHEMIN

Configurer les données signées (telles qu’écrites dans le chemin spécifié avec l’option --output= lors de la signature avec l’option --prepare-offline-signing) et la signature correspondante pour la commande sign.

Ajouté dans la version 258.

-h, --help

Afficher un aide-mémoire succinct et quitter.

--version

Afficher une information de version courte et quitter.

EXEMPLES

Exemple 1. Signature externe d’un binaire PE pour l’amorçage sécurisé EFI

Ce qui suit réalise la signature de systemd-boot(7) hors-ligne, pour l’amorçage sécurisé :

SD_BOOT="$(find /usr/lib/systemd/boot/efi/ -name "systemd-boot*.efi" | head -n1)"
# Extraction des données à signer extérieurement.
/usr/lib/systemd/systemd-sbsign \


    sign \


    --certificate=secure-boot-certificate.pem \


    --output=signed-data.bin \


    --prepare-offline-signing \


    "$SD_BOOT"
# Signature externe des données. Cette étape se déroule habituellement hors-ligne


  sur un système séparé.
openssl dgst -sha256 -sign secure-boot-private-key.pem -out signed-data.sig signed-data.bin
# Attache les données signées et la signature au binaire PE systemd-boot.
/usr/lib/systemd/systemd-sbsign \


    sign \


    --certificate=secure-boot-certificate.pem \


    --output="$SD_BOOT.signed" \


    --signed-data=signed-data.bin \


    --signed-data-signature=signed-data.sig \


    "$SD_BOOT"

VOIR AUSSI

bootctl(1)

TRADUCTION

La traduction française de cette page de manuel a été créée par Jean-Paul Guillonneau <guillonneau.jeanpaul@free.fr>

Cette traduction est une documentation libre ; veuillez vous reporter à la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.

Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à debian-l10n-french@lists.debian.org.

systemd 260~rc1