需启用uefi安全启动并加载麒麟官方密钥链才能通过签名验证:一、确认secure boot状态并进入uefi设置;二、切换至setup mode并清空pk/kek/db;三、用fat32 u盘加载pk.auth、kek.auth、db.auth;四、验证固件启用状态及内核签名有效性。
如果您已安装银河麒麟操作系统,但UEFI安全启动(Secure Boot)处于禁用状态,需在固件层重新启用并完成签名验证配置,才能确保系统内核与驱动模块通过微软或麒麟官方密钥链校验。以下是启用UEFI安全启动并完成麒麟OS验证的完整操作路径:
一、确认当前Secure Boot状态并进入UEFI设置
启用前必须确认当前固件中Secure Boot的实际开关状态,并准确进入UEFI界面。部分主板在Legacy模式下无法显示Secure Boot选项,因此需确保启动模式为UEFI ONLY。
1、重启计算机,在厂商Logo出现瞬间连续按Del键(华硕/技嘉)、F2键(联想/戴尔)或F10键(华为/惠普),具体按键以开机提示为准。
2、进入UEFI设置后,使用方向键切换至“Boot”或“Security”选项卡,查找“Secure Boot”条目。
3、观察其当前值:若显示“Disabled”,则需启用;若为“Enabled”但系统仍报错“Invalid signature”,说明密钥数据库未正确加载麒麟签名,需执行后续步骤。
二、切换至Setup Mode并清空原有密钥数据库
UEFI Secure Boot默认运行于User Mode,仅信任微软签名及OEM预置密钥,无法识别麒麟OS内核签名。切换至Setup Mode是导入自定义密钥的前提,该模式允许用户清除平台密钥(PK)、密钥交换密钥(KEK)和签名数据库(db)。
1、在Secure Boot子菜单中,定位“Secure Boot Mode”或“Deployment Mode”选项。
2、将当前模式由“User Mode”更改为Setup Mode(部分主板显示为“Custom Mode”或“Audit Mode”)。
3、按F10保存并退出,系统将重启一次;再次进入UEFI设置界面。
4、导航至“Key Management”、“PK/KEK/DB Management”或“Secure Boot Keys”子菜单。
5、依次执行:Clear PK → Clear KEK → Clear DB,每项操作后需确认“YES”或按Enter确认。
三、加载麒麟官方UEFI签名密钥文件
银河麒麟V10 SP3及以上版本提供完整的UEFI签名证书包,包含平台密钥(PK.auth)、密钥交换密钥(KEK.auth)和签名数据库(db.auth)。这些文件必须存放于FAT32格式U盘根目录,并通过UEFI界面逐级加载,使固件建立对麒麟内核的信任链。
1、从银河麒麟官网下载对应架构的Kylin Secure Boot Certificate Package(x86_64或ARM64),解压获取PK.auth、KEK.auth、db.auth三个文件。
2、将上述三个文件复制至空白U盘根目录,确保U盘格式为FAT32,且无中文路径或特殊字符。
3、插入U盘,重启进入UEFI Key Management界面。
4、选择“Load PK” → “Select File” → 从U盘中定位并选中PK.auth → 确认加载。
5、重复操作,依次加载KEK.auth与db.auth,每次加载后界面应提示“Success”或“Valid Signature”。
四、验证Secure Boot启用状态与内核签名有效性
密钥加载完成后,需在固件层确认Secure Boot已启用,并在麒麟OS内部验证内核是否被正确签名识别,避免因db未生效或GRUB未更新导致启动失败。
1、返回UEFI主界面,确认“Secure Boot”状态已变为Enabled,且“Secure Boot Mode”仍为Setup Mode(首次加载后可选回User Mode)。
2、保存设置并退出,从内置硬盘正常启动麒麟OS。
3、登录系统后打开终端,执行命令:mokutil --sb-state,输出应为“SecureBoot enabled”。
4、继续执行:sudo dmesg | grep -i "secure boot",日志中应出现“Secure boot enabled”及“Loading kernel module: signed by Kylin Software”等可信签名信息。
