[Quote]

    nikzzzz
  • 215
  • Longevity: 10 years
  • Posts: 3114
  • REPUTATION:127

    [+] [-]
dialmak
Небольшой вопросик, как создать свой сертификат?
Такого батничка достаточно?
makecert -r -sv sert.pvk -n CN="RusLive" sert.cer
cert2spc.exe sert.cer sert.spc
PVKIMPRT.EXE -pfx sert.spc sert.pvk
Подписывание
signtool.exe sign /v /f sert.pfx /p xxx /t http://timestamp.verisign.com/scripts/timestamp.dll /d "Generic Host Process for Win32 Services" /v %File%

[Quote]

    dialmak
  • 2607
  • Longevity: 9 years 1 month
  • Posts: 842
  • REPUTATION:40

    [+] [-]
nikzzzz, Попробуй, расскажешь.. Для windows тут есть инструкция на 14 стр., но я не пробовал.
Я делал по этой инструкции
Создал ключ приватный и публичный
openssl req -new -x509 -newkey rsa:2048 -keyout ~/mysuperkey.key -out ~/mysuperkey.crt -nodes -days 3650 -subj "/CN=mysuperkey, blablabla.com/"
openssl x509 -in ~/mysuperkey.crt -out ~/mysuperkey.cer -outform DER
Далее скриптом подписываю все EFI из папки ~/MYEFI
#!/bin/bash
FILES=~/MYEFI/*.efi
for f in $FILES
do
  echo $f
  sbsign --key ~/mysuperkey.key --cert ~/mysuperkey.crt $f
done

P.S. Нашел нормальный комплект для fedora c grub2 и fallback. Тестирую..

[Quote]

    nikzzzz
  • 215
  • Longevity: 10 years
  • Posts: 3114
  • REPUTATION:127

    [+] [-]
dialmak,
59242Попробуй, расскажешь..
Написал два батника, проверил, работают.
Создание сертификата
cd "%~dp0"
set CertName=CertName
set "Pass="
>nul 2>&1 md Cert
>nul 2>&1 del /q "Cert\%CertName%.*"
makecert -r -sv Cert\%CertName%.pvk -n CN="%CertName%" Cert\%CertName%.cer
cert2spc.exe Cert\%CertName%.cer Cert\%CertName%.spc
pvk2pfx.exe -pvk Cert\%CertName%.pvk -pi "%Pass%" -spc Cert\%CertName%.cer -pfx Cert\%CertName%.pfx -f
Подписывание
@echo off
cd "%~dp0"
set CertName=CertName
set CertFile=%1
set "Pass="
SignTool.exe sign /ac Cert\%CertName%.cer /f Cert\%CertName%.pfx /p "%Pass%" /fd sha256 "%CertFile%"
pause >nul
Но не удалось подписать vmlinuz.ef от MiniTool Partition Wizard.

[Quote]

    dialmak
  • 2607
  • Longevity: 9 years 1 month
  • Posts: 842
  • REPUTATION:40

    [+] [-]
nikzzzz, Какие версии использовал? Может наваяешь комплект makecert и т.д.?
Но не удалось подписать vmlinuz.ef от MiniTool Partition Wizard
А он разве не подписан? Скинь в личку, попробую через sbsign.
Я запамятовал как называется утилита для добавления и удаления подписи. Интересная штука, можно подписать своим ключом уже подписанный кем-то файл и будет 2 подписи валидных.
Сейчас экспериментирую с systemd-boot ибо честно говоря достал меня этот rEFInd через Shim, он падлюка не хочет грузить в SecureBoot цепочку с добавленными всеми ключами или я запутался..
Вот простая задача. Запустить IFL таким образом Shim -> rEFInd -> grub2 из IFL -> IFL. Все ключи добавлены. Все обламывается на этапе запуска vmlinuz, даже добавление хэша не помогает. Пробовал с Shim от fedora, но чуть новее.
Попробуешь? Может это я косячу? Подозреваю, что это творит grub2 из IFL, а не rEFInd, но творит такое из-за rEFInd. Вот хочу проверить через systemd-boot. grub2 от fedora грузит без проблем IFL, но только 64 битную.
Хочу также попробовать совместить Preloader+HashTool+KeyTool+ESL ключи. Если получится, то Shim+MokManager в топку

[Quote]

    nikzzzz
  • 215
  • Longevity: 10 years
  • Posts: 3114
  • REPUTATION:127

    [+] [-]
dialmak,
59257Может наваяешь комплект makecert и т.д.?
В приложенном файле, x86 версия, сделан из 17763.1.180914-1434.rs5_release_WindowsSDK , на семерке работает.
59257Вот простая задача. Запустить IFL таким образом Shim -> rEFInd -> grub2 из IFL -> IFL. Все ключи добавлены. Все обламывается на этапе запуска vmlinuz, даже добавление хэша не помогает. Пробовал с Shim от fedora, но чуть новее.
Пробовал уже, то-же самое.
А у тебя есть vmlinuz x64 от последней версии?
59257А он разве не подписан? Скинь в личку, попробую через sbsign.
Он подписан, но хотел его подписать своей подписью, скину в личку.
Attachments

[Quote]

    dialmak
  • 2607
  • Longevity: 9 years 1 month
  • Posts: 842
  • REPUTATION:40

    [+] [-]
nikzzzz,
Пробовал уже, то-же самое.
Значит проделки то ли Shim, то ли rEFInd..
Попробовал systemd-boot. Блин, ну это ж другое дело. Просто как двери и работает все с полтыка!

[Quote]

    dialmak
  • 2607
  • Longevity: 9 years 1 month
  • Posts: 842
  • REPUTATION:40

    [+] [-]
Добавил в шапку Пример номер 4.
Все благодарности ValdikSS

[Quote]

    dialmak
  • 2607
  • Longevity: 9 years 1 month
  • Posts: 842
  • REPUTATION:40

    [+] [-]
Непринципиальное косметическое изменение EFIx64_ValdikSS_rEFInd_BootIt_tbosdt_ifl_konboot
Ссылка в шапке также обновлена

[Quote]

    dialmak
  • 2607
  • Longevity: 9 years 1 month
  • Posts: 842
  • REPUTATION:40

    [+] [-]
Собрал EFIx32 версию с preloader-ом от ValdikSS. Основной бут менеджер rEFInd и добавлены Image for Linux GUI (NET) и Kon-Boot.
Через rEFInd удобно тестировать всякие PE-шки, собственно для этого в основном и собирал..

[Quote]

    loban_ser
  • 17796
  • Longevity: 7 years 1 month
  • Posts: 577
  • REPUTATION:24

    [+] [-]
63119Собрал EFIx32 версию с preloader-ом от ValdikSS. Основной бут менеджер rEFInd и добавлены Image for Linux GUI (NET) и Kon-Boot.
Через rEFInd удобно тестировать всякие PE-шки, собственно для этого в основном и собирал..
aa
Есть какая-то проблемка, загружаю твой комплект х32 у меня почему-то грузит:
думаю потому что grubia32_real.efi читает refind.conf, а не refx32.conf, можешь выложить (поделиться) один комплект вкл 32\64

[Quote]

    nikzzzz
  • 215
  • Longevity: 10 years
  • Posts: 3114
  • REPUTATION:127

    [+] [-]
loban_ser,
63640grubia32_real.efi читает refind.conf, а не refx32.conf
Просто в hex редакторе поправьте в grubia32_real.efi refind.conf на refx32.conf, больше ничего не требуется.

[Quote]

    nikzzzz
  • 215
  • Longevity: 10 years
  • Posts: 3114
  • REPUTATION:127

    [+] [-]
xnik,
74664Запутанная эта штука Secure boot, легче ее отключать и не мучится
К сожалению, не везде это можно сделать, поэтому и приходится искать пути обхода защиты, которую Microsoft монополизировала.

Page 3 of 3


Display posts:    

Current time is: 15-Mar 08:00

All times are UTC + 3


You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum