logo标签列表

如何理解Ubuntu UEFI安全启动安装?

bootuefisystem-installationsecure-boot
现在支持安全启动,那么在已经预装Windows 8并启用UEFI安全启动的计算机上安装Ubuntu需要遵循哪些特殊指令呢?
据我所知,Ubuntu >= 12.04.2版本已经配备了签名的GRUB2。我进行了搜索,但无法获得超过“支持”这个说明。我正在寻找有关如何注册Ubuntu密钥以让固件引导Ubuntu的具体指令。
更新:
谢谢。Ubuntu 12.10中的安全启动 给出了我的答案。Ubuntu的第一阶段EFI引导加载程序由Microsoft签名。我上次看到的消息是,Ubuntu计划发布自己的密钥,并要求在安装之前将其注册到固件的数据库中。可能是我没有长时间追踪这个故事,所以没意识到情况已经改变了。
2相关(但可能不是重复的,这是一个关于如何在Windows 8机器上安装Ubuntu的一般实际问题,而这里的答案提供了背景信息,解释了“安全启动”等):在预装UEFI支持的Windows 8系统上安装Ubuntu - Eliah Kagan
4个回答
可能从这里开始:help.ubuntu.com/community/UEFI UEFI(EFI)是一种在近年的计算机上广泛使用的固件接口,尤其是2010年之后生产的机器。它旨在取代较早机器上普遍使用的传统BIOS固件接口。本页面提供关于在EFI模式下安装和引导Ubuntu的信息,以及使用Ubuntu切换EFI模式和传统BIOS模式之间的方法。

更新:

Ubuntu 12.10旨在能够与安全启动一起使用。

Softpedia(2012年9月)>> Canonical公布了Ubuntu 12.10安全启动计划

通过Jon Melamut,Canonical宣布他们计划在即将推出的Ubuntu 12.10(Quantal Quetzal)操作系统中实现对安全启动的支持。

因此,在与自由软件基金会进行讨论后,Canonical决定放弃EFILinux引导程序实现,转而选择签名为他们自己密钥的GRUB2引导程序..

Muktware(2012年10月)>> Ubuntu 12.10中的安全启动

Ubuntu 12.10是第一个默认支持Secure Boot架构的发行版。Canonical的开发人员花费了大量时间确保Ubuntu在所有硬件上都能正常运行而没有问题。Ubuntu开发人员Steve Langasek在他的博客中提到了如何支持Secure Boot的情况。
Langasek表示,他们将把Secure Boot机制反向移植到Ubuntu 12.04版本,以便可以在支持Secure Boot的设备上安装LTS版本。因此,Ubuntu Precise(12.04.2)的下一个重要服务包将包括对SecureBoot的支持。
2谢谢您的回复。我已经阅读了这篇文章。我的问题不是关于UEFI,而是关于启用了安全启动的UEFI。这篇文章中没有提到如何处理启用了安全启动的个人电脑。请问您能否指点我一些资源,帮助我在启用了安全启动的个人电脑上安装Ubuntu? - Wolverine
有一些机器存在问题,特别是笔记本电脑 - 它们似乎没有在其BIOS中安装“Microsoft Windows UEFI Driver Publisher”公钥,以允许签名的Ubuntu引导加载程序(以及我们的其他UEFI软件)在启用安全启动选项的情况下运行。这不是与微软自己签署的UEFI Windows引导管理器相同的密钥,而且似乎一些BIOS实现仅具有此“Microsoft专属”公钥。
解决方案要么是:
1. 微软使用与其自己引导加载程序相同的密钥来签署第三方UEFI二进制文件。 2. BIOS供应商/计算机硬件主板制造商确保包含允许“Microsoft Windows UEFI Driver Publisher”签名的二进制文件正常工作的数据。
在Windows 8机器上,在管理员提升的命令提示框中输入“Mountvol Z: /S”。然后在命令提示符中执行以下操作:
copy Z:\EFI\Microsoft\*.efi    C:\test

在这里,Z是一个未使用的驱动器字母。

然后,您可以检查(已创建的)C:\test文件夹中Microsoft .efi文件上的数字签名,并且可以看到密钥的名称与用于签署Ubuntu引导加载程序的密钥不同。

Ubuntu引导文件可以在X:\EFI\Boot中找到,其中X是CD驱动器的字母。

这个问题需要解决,并且需要快速解决。

我们的研究表明,到目前为止测试过的笔记本电脑中,只有ASUS笔记本电脑在其BIOS中安装了正确的密钥,但我们还没有成功检查每个人。我在这里没有提及无法工作的机器的名称,但其中一个名称与能够工作的机器相似!

1看起来ThinkPad的键盘开箱即用,非常合适。 - nhinkle
六个月前发过一个类似的问题,由于无法加载内核而安装了一个非Linux的替代操作系统,以证明我的固件和硬件至少按预期工作。我希望这个新硬件是我从未见过Windows的第一台,也许下次会有所不同...
自从开始使用最新硬件的EFI功能的探索之后,我花了一些时间浏览了这些非常有用的页面,其中包括了如何在启用Secure Boot的机器上进行Ubuntu安装的简介,并强调了不仅仅依赖于Grub2和微软签名密钥这一个选项。这与你在问题更新中提到的链接所指示的完全不同。只是想分享一下这并不是事实。正如本段的最后一个链接所示,使用rEFInd和自己的密钥可以在启用Secure Boot的情况下管理Linux安装。这是提到但没有详细描述的多种选择之一。希望你能像我一样享受阅读的乐趣!
另一种选择是关闭Secure Boot。个人建议至少尝试一下LovinBuntu所描述的简短甜美的方法。
另一个有用的信息来源是维基百科文章这里。它帮助描述和指定Windows 8对UEFI的要求,需要版本大于等于2.3.1(最新版本为2.4),并且安全启动功能在版本大于等于2.2的UEFI规范中可用。
(链接的维基页面还分享了一个类似的UEFI页面,这让我感到非常恐惧!科幻小说不是虚构的!:p)
以下是一些进一步阅读的链接:
- UEFI官方网站:UEFI Official Website - 可扩展固件接口(EFI)和统一EFI(UEFI):Extensible Firmware Interface (EFI) and Unified EFI (UEFI) - Windows操作系统的UEFI支持和要求:UEFI Support and Requirements for Windows Operating Systems