sign-efi-sig-list - 云端在线

程序：

您的姓名

sign-efi-sig-list - 用于作为 EFI 签名列表的安全变量的签名工具

概要

签名-efi-sig-list [-r[-m[-a[-g [-o[-t [-i [-c <crt
档案>[-k <键 档案>] <efi SIG 名单 档案> <输出 档案>

商品描述

生成带有身份验证标头的输出文件，用于直接更新到安全
多变的。 此输出可以直接由常用密钥签名，也可以拆分为
使用外部签名 -o 和 -i 选项​​。

配置

-r 证书是 rsa2048 而不是 x509 [未实现]

-m 使用单调计数而不是时间戳 [未实现]

-a 为 APPEND_WRITE 而不是替换准备变量

-o 不签名，但输出要签名的确切包的文件

-t
用作为定时变量更新的时间戳 如果不存在，则
时间戳将从系统时间中获取。 请注意，您必须在以下情况下使用此选项
进行分离签名，否则签名将不正确，因为
时间戳不匹配。

-i
获取由生成的包的分离签名（以 PEM 格式） -o 并完成
更新的创建

-g
用作为签名所有者 GUID

-c
是包含 PEM 格式的签名证书的文件

-k
是包含密钥的文件以 PEM 格式

示例

签署一个简单的附加更新到 db 中，该更新已准备为 EFI 签名列表
DB.esl 并在 DB.auth 中输出带有身份验证标头的结果

签名-efi-sig-list -a -c KEK.crt -k KEK.key db DB.esl DB.auth

以同样的方式做一个分离的签名

sign-efi-sig-list -a -t 'Jul 21 09:39:37 BST 2012' -o db DB.esl DB.forsig

现在以标准的 openssl 方式签署 DB.forsig 文件。 请注意，标准要求
sha256 作为签名算法

openssl smime -sign -binary -in DB.forsig -out DB.signed -signer KEK.crt -inkey KEK.key
-outform DER -md sha256

这会在 DB.signed 中产生一个分离的 PKCS7 签名。 现在将其反馈回
程序记住保持相同的时间戳（和 -a 标志）：

sign-efi-sig-list -a -i DB.signed -t 'Jul 21 09:39:37 BST 2012' db DB.auth

要删除密钥，只需签署一个空的 EFI 签名列表文件，从而生成一个变量
将删除 PK 的更新：

> null.esl

然后以标准方式对其进行签名（不能是追加写入更新）：

签名-efi-sig-list -c PK.crt -k PK.key PK null.esl PK.auth

将 .auth 文件传送到 UEFI 平台后，您可以使用 UpdateVars.efi
应用程序

UpdateVars [-a] db DB.auth

如果 DB.auth 文件是作为追加写入创建的，则必须存在 -a 标志
如果它替换变量，则更新和不存在。

使用 onworks.net 服务在线使用 sign-efi-sig-list