Шим работает только в небезопасном режиме загрузки

Я пытаюсь заставить мою двойную загрузку (Arch + Win10) работать с Secure Boot. Я последовал за Arch Wiki , выполнив следующие шаги.

sudo mount /dev/sda1 /boot/efi sudo mv /boot/efi/EFI/Boot/bootx64.efi /boot/efi/EFI/Boot/grubx64.efi sudo cp /usr/share/shim-signed/shimx64.efi /boot/efi/EFI/Boot/bootx64.efi sudo cp /usr/share/shim-signed/mmx64.efi /boot/efi/EFI/Boot/ sudo openssl req -newkey rsa:2048 -nodes -keyout MOK.key -new -x509 -sha256 -days 3650 -subj "/CN=MOK_LENOVO_MASSIMO/" -out MOK.crt sudo openssl x509 -outform DER -in MOK.crt -out MOK.cer sudo openssl x509 -outform DER -in MOK.crt -out MOK.cer sudo sbsign --key MOK.key --cert MOK.crt --output /boot/vmlinuz-linux /boot/vmlinuz-linux sudo sbsign --key MOK.key --cert MOK.crt --output /boot/efi/EFI/BOOT/grubx64.efi /boot/efi/EFI/BOOT/grubx64.efi sudo cp MOK.cer /boot/efi/EFI/ systemctl reboot --firmware-setup 

Когда я включил безопасную загрузку, система загрузила direclty в windows (что после нового «shim» bootx64.efi, по-прежнему называемого «rEFInd Boot Manager», в порядке загрузки).

Отключение SB вернуло меня к рабочему рефиндингу, что, я думаю, означает, что shim правильно настроен, но система не распознает его подписанный ключ? Вики и сайт перефразирования говорят мне, что мне нужно получить подсказку с помощью инструмента MOK, поскольку Shim, подписанный ключом Microsoft, не может перегрузить цепочку (еще не подписан).

Как мне сделать шим цепью MokManager?

РЕДАКТИРОВАТЬ: Я посмотрел на исходный код Shim и действительно кажется, что, если бы были ошибки, Shim напечатал бы их счастливо (что не происходит). Это просто тихая загрузка окон.

Вы должны либо создать свой MOK и подписать с ним загрузчик, либо получить дополнительную пару shim + bootloader (как в «загрузчике, подписанном сертификатом, с которым был скомпилирован shim») – см. Также превосходные книги Рода по этой теме ( с Secure Boot , Control Secure Boot ), а также с моим мини-HOWTO по UEFI SecureBoot, если вы заинтересованы в том, чтобы помочь Arch подписать свою оболочку в UEFI CA (== MSFT).

Получить дистрибутив Linux, который на самом деле прошел через эту боль для вас, может быть намного проще (я знаю Fedora, SUSE, Ubuntu, ALT и ROSA на сегодняшний день, хотя их может быть больше).

PS: точный (но бесполезный ) ответ заключается в том, что ваша подкладка уже работает как задумано …