[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
dialmak
Небольшой вопросик, как создать свой сертификат?
Такого батничка достаточно?
makecert -r -sv sert.pvk -n CN="RusLive" sert.cer
cert2spc.exe sert.cer sert.spc
PVKIMPRT.EXE -pfx sert.spc sert.pvk
Подписывание
signtool.exe sign /v /f sert.pfx /p xxx /t http://timestamp.verisign.com/scripts/timestamp.dll /d "Generic Host Process for Win32 Services" /v %File%

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 10 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
nikzzzz, Попробуй, расскажешь.. Для windows тут есть инструкция на 14 стр., но я не пробовал.
Я делал по этой инструкции
Создал ключ приватный и публичный
openssl req -new -x509 -newkey rsa:2048 -keyout ~/mysuperkey.key -out ~/mysuperkey.crt -nodes -days 3650 -subj "/CN=mysuperkey, blablabla.com/"
openssl x509 -in ~/mysuperkey.crt -out ~/mysuperkey.cer -outform DER
Далее скриптом подписываю все EFI из папки ~/MYEFI
#!/bin/bash
FILES=~/MYEFI/*.efi
for f in $FILES
do
  echo $f
  sbsign --key ~/mysuperkey.key --cert ~/mysuperkey.crt $f
done

P.S. Нашел нормальный комплект для fedora c grub2 и fallback. Тестирую..

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
dialmak,
59242Попробуй, расскажешь..
Написал два батника, проверил, работают.
Создание сертификата
cd "%~dp0"
set CertName=CertName
set "Pass="
>nul 2>&1 md Cert
>nul 2>&1 del /q "Cert\%CertName%.*"
makecert -r -sv Cert\%CertName%.pvk -n CN="%CertName%" Cert\%CertName%.cer
cert2spc.exe Cert\%CertName%.cer Cert\%CertName%.spc
pvk2pfx.exe -pvk Cert\%CertName%.pvk -pi "%Pass%" -spc Cert\%CertName%.cer -pfx Cert\%CertName%.pfx -f
Подписывание
@echo off
cd "%~dp0"
set CertName=CertName
set CertFile=%1
set "Pass="
SignTool.exe sign /ac Cert\%CertName%.cer /f Cert\%CertName%.pfx /p "%Pass%" /fd sha256 "%CertFile%"
pause >nul
Но не удалось подписать vmlinuz.ef от MiniTool Partition Wizard.

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 10 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
nikzzzz, Какие версии использовал? Может наваяешь комплект makecert и т.д.?
Но не удалось подписать vmlinuz.ef от MiniTool Partition Wizard
А он разве не подписан? Скинь в личку, попробую через sbsign.
Я запамятовал как называется утилита для добавления и удаления подписи. Интересная штука, можно подписать своим ключом уже подписанный кем-то файл и будет 2 подписи валидных.
Сейчас экспериментирую с systemd-boot ибо честно говоря достал меня этот rEFInd через Shim, он падлюка не хочет грузить в SecureBoot цепочку с добавленными всеми ключами или я запутался..
Вот простая задача. Запустить IFL таким образом Shim -> rEFInd -> grub2 из IFL -> IFL. Все ключи добавлены. Все обламывается на этапе запуска vmlinuz, даже добавление хэша не помогает. Пробовал с Shim от fedora, но чуть новее.
Попробуешь? Может это я косячу? Подозреваю, что это творит grub2 из IFL, а не rEFInd, но творит такое из-за rEFInd. Вот хочу проверить через systemd-boot. grub2 от fedora грузит без проблем IFL, но только 64 битную.
Хочу также попробовать совместить Preloader+HashTool+KeyTool+ESL ключи. Если получится, то Shim+MokManager в топку

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
dialmak,
59257Может наваяешь комплект makecert и т.д.?
В приложенном файле, x86 версия, сделан из 17763.1.180914-1434.rs5_release_WindowsSDK , на семерке работает.
59257Вот простая задача. Запустить IFL таким образом Shim -> rEFInd -> grub2 из IFL -> IFL. Все ключи добавлены. Все обламывается на этапе запуска vmlinuz, даже добавление хэша не помогает. Пробовал с Shim от fedora, но чуть новее.
Пробовал уже, то-же самое.
А у тебя есть vmlinuz x64 от последней версии?
59257А он разве не подписан? Скинь в личку, попробую через sbsign.
Он подписан, но хотел его подписать своей подписью, скину в личку.
Вложение

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 10 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
nikzzzz,
Пробовал уже, то-же самое.
Значит проделки то ли Shim, то ли rEFInd..
Попробовал systemd-boot. Блин, ну это ж другое дело. Просто как двери и работает все с полтыка!

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 10 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
Добавил в шапку Пример номер 4.
Все благодарности ValdikSS

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 10 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
Непринципиальное косметическое изменение EFIx64_ValdikSS_rEFInd_BootIt_tbosdt_ifl_konboot
Ссылка в шапке также обновлена

[Цитировать]

    dialmak
  • 2607
  • Стаж: 8 лет 10 месяцев
  • Сообщений: 842
  • Репутация:40

    [+] [-]
Собрал EFIx32 версию с preloader-ом от ValdikSS. Основной бут менеджер rEFInd и добавлены Image for Linux GUI (NET) и Kon-Boot.
Через rEFInd удобно тестировать всякие PE-шки, собственно для этого в основном и собирал..

[Цитировать]

    loban_ser
  • 17796
  • Стаж: 6 лет 9 месяцев
  • Сообщений: 577
  • Репутация:24

    [+] [-]
63119Собрал EFIx32 версию с preloader-ом от ValdikSS. Основной бут менеджер rEFInd и добавлены Image for Linux GUI (NET) и Kon-Boot.
Через rEFInd удобно тестировать всякие PE-шки, собственно для этого в основном и собирал..
aa
Есть какая-то проблемка, загружаю твой комплект х32 у меня почему-то грузит:
думаю потому что grubia32_real.efi читает refind.conf, а не refx32.conf, можешь выложить (поделиться) один комплект вкл 32\64

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
loban_ser,
63640grubia32_real.efi читает refind.conf, а не refx32.conf
Просто в hex редакторе поправьте в grubia32_real.efi refind.conf на refx32.conf, больше ничего не требуется.

[Цитировать]

    nikzzzz
  • 215
  • Стаж: 9 лет
  • Сообщений: 3114
  • Репутация:127

    [+] [-]
xnik,
74664Запутанная эта штука Secure boot, легче ее отключать и не мучится
К сожалению, не везде это можно сделать, поэтому и приходится искать пути обхода защиты, которую Microsoft монополизировала.

Страница 3 из 3


Показать сообщения:    

Текущее время: 03-Дек 20:09

Часовой пояс: UTC + 3


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы можете скачивать файлы