[devel] Q: pesign/UEFI

[Konstantin Lepikhov]

Привет!

А научите, как правильно пользоваться pesign в ALTLinux. С ходу понять это
невозможно.

Вот есть такой документ на wiki
https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO

Где написано, что если вы хотите что-то подписать "на коленке" через
самподписанный сертфикат, то будьте добры сделайте свой ca cert, потом им
подпишите signer cert и потом это все подсуньте pesign. Это все здорово,
но:

- Как это работает в hasher?
- Как у нас подписан grub2? В сизифе я вижу что grub2-efi подписан
  сертификатом ALT UEFI SB Signer который выдан ALT Certification
  Authority. Где его взять и как это работает для локальных сборок?

Если смотреть на другие дистрибутивы, то Fedora/RHEL, например, носят базу
сертификатов внутри pesigner -
http://pkgs.fedoraproject.org/cgit/rpms/pesign.git/tree/sources?id=ecaa79e05842e97081d7404d3af15b38ee4e54e3

У нас этой базы нет (или она есть где-то на сборочных серверах ООО?)
поэтому непонятно как реализовать не находясь на сборочном сервере с
нужным роялем в кустах.

Пока у меня получается такой вывод при сборке:
+ install -pDm644 efi/fwupx64.efi /usr/src/tmp/fwupdate-buildroot/usr/lib64/efi/fwupx64.efi
+ '[' x86_64 == x86_64 ']'
++ mktemp pesign-XXXXXXX.efi
+ out=pesign-dugAhye.efi
+ '[' -S /var/run/pesign/socketdir/socket ']'
+ pesign -c 'Red Hat Test Certificate' -i /usr/src/tmp/fwupdate-buildroot/usr/lib64/efi/fwupx64.efi -o pesign-dugAhye.efi -s
Could not initialize nss: The certificate/key database is in an old, unsupported format.
+ :
+ '[' -s pesign-dugAhye.efi ']'
+ '[' -e pesign-dugAhye.efi ']'
+ rm -f pesign-dugAhye.efi
+ echo 'pesign failed'
pesign failed

т.е. pesign не запущен и нужных токенов и ключей по-умолчанию в hasher
нет.

Спасибо!

-- 
WBR et al.