From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <lakostis@altlinux.org>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.9 required=5.0 tests=BAYES_00,FSL_HELO_HOME
 autolearn=no autolearn_force=no version=3.4.1
Date: Thu, 23 Nov 2017 13:07:33 +0100
From: Konstantin Lepikhov <lakostis@altlinux.org>
To: ALT Linux Devel Mailing List <devel@lists.altlinux.org>
Message-ID: <20171123120732.GB13450@lks.home>
Mail-Followup-To: ALT Linux Devel Mailing List <devel@lists.altlinux.org>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
X-Operation-System: ALT Linux starter kit (Trientalis) 4.14.0-lks-wks-alt1
User-Agent: Mutt/1.8.3 (2017-05-23)
Subject: [devel] Q: pesign/UEFI
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Thu, 23 Nov 2017 12:07:39 -0000
Archived-At: <http://lore.altlinux.org/devel/20171123120732.GB13450@lks.home/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Привет!

А научите, как правильно пользоваться pesign в ALTLinux. С ходу понять это
невозможно.

Вот есть такой документ на wiki
https://en.altlinux.org/UEFI_SecureBoot_mini-HOWTO

Где написано, что если вы хотите что-то подписать "на коленке" через
самподписанный сертфикат, то будьте добры сделайте свой ca cert, потом им
подпишите signer cert и потом это все подсуньте pesign. Это все здорово,
но:

- Как это работает в hasher?
- Как у нас подписан grub2? В сизифе я вижу что grub2-efi подписан
  сертификатом ALT UEFI SB Signer который выдан ALT Certification
  Authority. Где его взять и как это работает для локальных сборок?

Если смотреть на другие дистрибутивы, то Fedora/RHEL, например, носят базу
сертификатов внутри pesigner -
http://pkgs.fedoraproject.org/cgit/rpms/pesign.git/tree/sources?id=ecaa79e05842e97081d7404d3af15b38ee4e54e3

У нас этой базы нет (или она есть где-то на сборочных серверах ООО?)
поэтому непонятно как реализовать не находясь на сборочном сервере с
нужным роялем в кустах.

Пока у меня получается такой вывод при сборке:
+ install -pDm644 efi/fwupx64.efi /usr/src/tmp/fwupdate-buildroot/usr/lib64/efi/fwupx64.efi
+ '[' x86_64 == x86_64 ']'
++ mktemp pesign-XXXXXXX.efi
+ out=pesign-dugAhye.efi
+ '[' -S /var/run/pesign/socketdir/socket ']'
+ pesign -c 'Red Hat Test Certificate' -i /usr/src/tmp/fwupdate-buildroot/usr/lib64/efi/fwupx64.efi -o pesign-dugAhye.efi -s
Could not initialize nss: The certificate/key database is in an old, unsupported format.
+ :
+ '[' -s pesign-dugAhye.efi ']'
+ '[' -e pesign-dugAhye.efi ']'
+ rm -f pesign-dugAhye.efi
+ echo 'pesign failed'
pesign failed

т.е. pesign не запущен и нужных токенов и ключей по-умолчанию в hasher
нет.

Спасибо!

-- 
WBR et al.