Recientemente instalé Fedora 20 en una PC de escritorio personalizada con una placa base ASUS Z87-K. Dados algunos errores comúnmente conocidos, instalé el controlador propietario de NVIDIA para mi GeForce 630 y desactivé el controlador nouveau.
Después de completar correctamente la instalación del controlador, durante la cual el módulo se firmó con un par de claves recién generado, se creó un certificado x.509 y se colocó automáticamente en
/usr/share/nvidia/certificate.der.
Sin embargo, a partir de ese momento, la computadora no puede iniciarse con la opción de inicio seguro UEFI habilitada. Al cambiar al modo de texto y ejecutar nvidia-modprobe, encuentro que el módulo propietario de NVIDIA no estaba cargado.
Cuando desactivo el arranque seguro en el menú UEFI, la computadora arranca y funciona sin problemas con el controlador instalado.
Para evitar el inconveniente de arrancar en modo inseguro, me gustaría saber dónde colocar el certificado x.509 del módulo NVIDIA para que el kernel lo reconozca y no tener que desactivar el arranque seguro.
Respuesta1
Debería poder cargar el certificado usando MokManager.efipara que Shim lo reconozca y, por lo tanto, el kernel lo acepte. No sé si Fedora configura su GRUB para que puedas iniciarlo MokManager.efitú mismo. De lo contrario, intente iniciar (con el arranque seguro deshabilitado) una unidad flash USB con un shell EFI ovolver a encontrar.Entonces debería poder iniciar MokManager.efiy cargar el archivo del certificado. (Deberá almacenarse en el mismo disco que la MokManager.efiutilidad, probablemente /boot/efidesde Fedora).
Estoy bastante seguro de que hay una manera de agregar el certificado a la NVRAM desde Linux para que Shim lo note y pregunte si debe usarse la próxima vez que reinicie, pero no sé exactamente qué es. Presumiblemente implicaría escribir el archivo en algún lugar del /sys/firmware/efiárbol de directorios.
Dicho esto, nunca he tenido que hacer esto específico yo mismo, ya que no uso controladores de video propietarios en ninguna de mis computadoras. Es posible que deba tomar algún paso adicional.
Respuesta2
Querrá utilizar mokutil para registrar la clave.
sudo mokutil --import <der file>
Puede probar si una clave está registrada con
mokutil --test-key <der file>