secboot

语法

secboot[-l all]|[PK]|[KEK]|[db]|[dbx][-sfo]

secboot[-f file]

secboot -e [PK]|[KEK]|[db]|[dbx][-f file] secboot -r [all | PK | KEK | db | dbx] [-q]

secboot -d [all]|[PK]|[KEK]|[db]|[dbx][-i index][-q] secboot -x [all | PK | KEK | db | dbx] [-i index][-f file]

说明

显示和修改安全引导数据库、密钥和安全报告。

选项

-l

显示安全引导数据库和密钥。

all

显示或删除所有安全引导变量的签名。

PK

显示平台密钥 （PK) 信息。它区分大小写。

KEK

显示密钥交换密钥 (KEK) 信息。它区分大小写。

db

显示允许使用的签名数据库 (DB) 信息。

dbx

显示禁止使用的签名数据库 (DB) 信息。

-sfo

以标准格式输出显示信息。

-e

在安全引导变量中注册 DER 格式的 X509 文件或 EFI 应用程序哈希或 Shell 脚本。Shell 脚本必须以 "#!NSH" 签名开头

-f file

显示 DER 格式的 X509 文件信息。

-r

将所有安全引导签名重置为平台默认值。

-d

删除所有签名，或从指定的数据库中删除签名。

-i index

从特定数据库中选择签名 (1,2,...)。

-q

以无提示模式显示，而没有确认提示。

-x

将证书或哈希从安全引导数据库导出到目标文件。

示例

显示所有安全引导变量的签名。

Shell> secboot -l all

显示允许的签名数据库信息：

Shell> secboot -l db

显示 DER 格式的 X509 文件信息：

Shell> secboot -f abc.der

在安全引导变量中注册 DER 格式的 X509 文件：

Shell> secboot -e db -f abc.der

在允许的签名数据库中注册 EFI 应用程序哈希：

Shell> secboot -e db -f bootx64.efi

在允许的签名数据库中注册网络上的 EFI 应用程序的哈希：

Shell> secboot -e db -f http://www.example.com/BOOT/bootx64.efi

在允许的签名数据库中注册脚本哈希：

Shell> secboot -e db -f Test.nsh

在允许的签名数据库中注册网络位置上的脚本的哈希：

Shell> secboot -e db -f http://www.example.com/TESTS/Test.nsh

将所有安全引导签名重置为平台默认值：

Shell> secboot -r all

将 KEK 安全引导签名重置为平台默认值：

Shell> secboot -r KEK

删除所有安全引导签名：

Shell> secboot -d all

删除平台密钥：

Shell> secboot -d PK

清除允许的签名数据库：

Shell> secboot -d db

从密钥交换密钥中删除第二个签名：

Shell> secboot -d KEK -i 2

将第三个条目从 KEK 安全引导数据库导出到 abc.der 文件中：

Shell> secboot -x KEK -i 3 -f abc.der

从所有安全引导数据库中导出所有条目 (PK/KEK/db/dbx)：

Shell> secboot -x all

从 KEK 安全引导数据库中导出所有条目 (PK/KEK/db/dbx)：

Shell> secboot -x KEK