Hallo,
ich bekomme beim booten von Leap 15.2 immer den Fehler “integrity Problem loading X.509 certificate -74” - ist das problematisch bzw. wie kann ich das beheben?
Hier mal ein syslog-Auszug:
08.04.21 21:39 AppArmor AppArmor sha1 policy hashing enabled08.04.21 21:39 integrity Loading X.509 certificate: UEFI:db
08.04.21 21:39 integrity Loaded X.509 cert 'Microsoft Corporation UEFI CA 2011: 13adbxxxxxxxxxxxxxxxxxxxxx1bd4'
08.04.21 21:39 integrity Loading X.509 certificate: UEFI:db
08.04.21 21:39 integrity Loaded X.509 cert 'Microsoft Windows Production PCA 2011: a9290xxxxxxxxxxxxxxxxxxaf53'
08.04.21 21:39 integrity Loading X.509 certificate: UEFI:MokListRT
08.04.21 21:39 integrity Loaded X.509 cert 'openSUSE Secure Boot Signkey: 0332fxxxxxxxxxxxxxxxxxxxxxxxxefc8'
08.04.21 21:39 integrity Loading X.509 certificate: UEFI:MokListRT
08.04.21 21:39 integrity Loaded X.509 cert 'grub: d939xxxxxxxxxxxxxxxxxxxxxxxxxxx9007'
08.04.21 21:39 integrity Loading X.509 certificate: UEFI:MokListRT
08.04.21 21:39 integrity Problem loading X.509 certificate -74
08.04.21 21:39 Error adding keys to platform keyring UEFI:MokListRT
08.04.21 21:39 integrity Loading X.509 certificate: UEFI:MokListRT
08.04.21 21:39 integrity Loaded X.509 cert 'openSUSE Secure Boot CA: 6842xxxxxxxxxxxxxxxxxxxxxx1762'
08.04.21 21:39 ima No TPM chip found, activating TPM-bypass!
08.04.21 21:39 ima Allocated hash algorithm: sha256
08.04.21 21:39 ima No architecture policies found
08.04.21 21:39 evm Initialising EVM extended attributes:
08.04.21 21:39 evm security.selinux
Danke und Grüße,
Gui Do
Da wird eine Zertifikatskette für UEFI Secure Boot geladen. Für mehr Informationen zu MOK und UEFI Secure Boot siehe Kapitel “14 - UEFI (Unified Extensible Firmware Interface)” im openSUSE-Referenzhandbuch:
https://doc.opensuse.org/de/
Der Einsatz von UEFI Secure Boot (und GPT) ist aus Sicherheitsgründen zu empfehlen!
https://de.wikipedia.org/wiki/Unified_Extensible_Firmware_Interface#Secure_Boot
https://de.wikipedia.org/wiki/GUID_Partition_Table Um nicht in “Teufels Küche zu geraten”, sollte man nach Möglichkeit den Einsatz von MOK vermeiden. Somit ist diese Fehlermeldung:
“Error adding keys to platform keyring UEFI:MokListRT”
in Ordnung. Diese Fehlermeldung verschwindet, wenn man MOK einsetzt respektive einsetzen muss.
Bei mir sieht das ähnlich aus:
2.920357] **integ**rity: Error adding keys to platform keyring UEFI:db
2.920358] **integ**rity: Loading X.509 certificate: UEFI:db
2.920361] **integ**rity: Problem loading X.509 certificate -65
2.920389] **integ**rity: Error adding keys to platform keyring UEFI:db
Das sind wohl in meinem Fall (ur)alte Schlüssel, die der Hersteller ins UEFI gepflanzt hat. Die werden vom Kernel seit einiger Zeit nicht mehr unterstützt.
Vielen Dank euch für eure Hinweise,
ich hab jetzt Tumbleweed installiert und da tritt das Problem nicht mehr auf.
Ja, es ist problematisch …
Normal Leap 15.2 ist –
Apr 10 18:45:26 xxx kernel: registered taskstats version 1
Apr 10 18:45:26 xxx kernel: Loading compiled-in X.509 certificates
Apr 10 18:45:26 xxx kernel: Loaded X.509 cert 'openSUSE Secure Boot Signkey: 9d...25'
Apr 10 18:45:26 xxx kernel: zswap: loaded using pool lzo/zbud
Apr 10 18:45:26 xxx kernel: page_owner is disabled
Apr 10 18:45:26 xxx kernel: Key type big_key registered
Apr 10 18:45:26 xxx kernel: Key type encrypted registered
Apr 10 18:45:26 xxx kernel: AppArmor: AppArmor sha1 policy hashing enabled
Apr 10 18:45:26 xxx kernel: integrity: Loading X.509 certificate: UEFI:db
Apr 10 18:45:26 xxx kernel: integrity: Loaded X.509 cert 'ASUSTeK MotherBoard SW Key Certificate: da...a2'
Apr 10 18:45:26 xxx kernel: integrity: Loading X.509 certificate: UEFI:db
Apr 10 18:45:26 xxx kernel: integrity: Loaded X.509 cert 'ASUSTeK Notebook SW Key Certificate: b8...71'
Apr 10 18:45:26 xxx kernel: integrity: Loading X.509 certificate: UEFI:db
Apr 10 18:45:26 xxx kernel: integrity: Loaded X.509 cert 'Microsoft Corporation UEFI CA 2011: 13...d4'
Apr 10 18:45:26 xxx kernel: integrity: Loading X.509 certificate: UEFI:db
Apr 10 18:45:26 xxx kernel: integrity: Loaded X.509 cert 'Microsoft Windows Production PCA 2011: a9...53'
Apr 10 18:45:26 xxx kernel: integrity: Loading X.509 certificate: UEFI:db
Apr 10 18:45:26 xxx kernel: integrity: Loaded X.509 cert 'Canonical Ltd. Master Certificate Authority: ad...63'
Apr 10 18:45:26 xxx kernel: integrity: Loading X.509 certificate: UEFI:MokListRT
Apr 10 18:45:26 xxx kernel: integrity: Loaded X.509 cert 'openSUSE Secure Boot CA: 68...62'
Apr 10 18:45:26 xxx kernel: ima: No TPM chip found, activating TPM-bypass!
Apr 10 18:45:26 xxx kernel: ima: Allocated hash algorithm: sha256
Apr 10 18:45:26 xxx kernel: ima: No architecture policies found
Apr 10 18:45:26 xxx kernel: evm: Initialising EVM extended attributes:
Ursache –
# l /etc/uefi/certs/
insgesamt 20
drwxr-xr-x 2 root root 4096 10. Apr 18:45 ./
drwxr-xr-x 3 root root 4096 7. Apr 16:38 ../
-rw-r--r-- 1 root root 1177 5. Mär 17:35 33CEA71B.crt
-rw-r--r-- 1 root root 1144 24. Aug 2020 4659838C-shim.crt
-rw-r--r-- 1 root root 1177 7. Apr 16:38 BDD31A9E.crt
# rpm --query --whatprovides /etc/uefi/certs
shim-15+git47-lp152.4.6.1.x86_64
kernel-default-5.3.18-lp152.66.2.x86_64
kernel-default-5.3.18-lp152.63.1.x86_64
kernel-default-5.3.18-lp152.69.1.x86_64
# rpm --query --whatprovides /etc/uefi/certs/33CEA71B.crt
kernel-default-5.3.18-lp152.66.2.x86_64
kernel-default-5.3.18-lp152.63.1.x86_64
# rpm --query --whatprovides /etc/uefi/certs/4659838C-shim.crt
shim-15+git47-lp152.4.6.1.x86_64
# rpm --query --whatprovides /etc/uefi/certs/BDD31A9E.crt
kernel-default-5.3.18-lp152.69.1.x86_64
#
Lösung – zwangsmäßig (zypper install --force ) die “kernel-default” und “shim” Packeten neu installieren, und –
Wie vom „hendwolt
” erwähnt – in BIOS/UEFI prüfen ob, etwas älterer Schlüsseln vorhanden sind.
Nach die Schlüsselhausarbeit beendet ist, oft beim neu-booten wird die UEFI/BIOS meckern – einfach die Hinweise folgen und wieder mal neu-booten.
Also, liebe Kollegen,
ich habe nun, wie von @dcurtisfra beschrieben, die “kernel-default” und “shim” Pakete neu installiert und im BIOS weiß ich nicht, wie ich da die Schlüssel prüfen kann. Unter Tumbleweed trat der Fehler nicht auf, also müssten die Schlüssel dort doch aktuell sein, oder? Trotzdem habe ich immer noch das integrity-Problem.
EFI/BIOS – fortgeschrittene Modus – EFI Schlüsseln prüfen – openSUSE Schlüssel wählen – booten – möglicherweise ein „blaues Bildschirm” mit „Vertraue diese Schlüssel?” – antworte mit „Ja” …
Hallo,
sorry, dass ich mich so lange nicht gemeldet habe, aber diese Maschine hatte in letzter Zeit keine Priorität. Diese genannten Einstellungen habe ich im BIOS leider nicht. So sieht das bei mir aus :
https://upload.disroot.org/r/wNf4As9B#i3nh+eKGP38FC7q0FSkp6a7JHOMRCdRTpJQhZOdrvak=
https://upload.disroot.org/r/wNf4As9B#i3nh+eKGP38FC7q0FSkp6a7JHOMRCdRTpJQhZOdrvak=
Ein Vergleich –
# journalctl --this-boot --output=short-monotonic --no-hostname | grep -iE 'integrity|X.509'
1.893296] kernel: Loading compiled-in X.509 certificates
1.893328] kernel: Loaded X.509 cert 'openSUSE Secure Boot Signkey: 9ddf43d9f1a027273f52c6c0775908ee01671325'
1.897837] kernel: integrity: Loading X.509 certificate: UEFI:db
1.898073] kernel: integrity: Loaded X.509 cert 'ASUSTeK MotherBoard SW Key Certificate: da83b990422ebc8c441f8d8b039a65a2'
1.898073] kernel: integrity: Loading X.509 certificate: UEFI:db
1.898258] kernel: integrity: Loaded X.509 cert 'ASUSTeK Notebook SW Key Certificate: b8e581e4df77a5bb4282d5ccfc00c071'
1.898258] kernel: integrity: Loading X.509 certificate: UEFI:db
1.898280] kernel: integrity: Loaded X.509 cert 'Microsoft Corporation UEFI CA 2011: 13adbf4309bd82709c8cd54f316ed522988a1bd4'
1.898281] kernel: integrity: Loading X.509 certificate: UEFI:db
1.898302] kernel: integrity: Loaded X.509 cert 'Microsoft Windows Production PCA 2011: a92902398e16c49778cd90f99e4f9ae17c55af53'
1.898303] kernel: integrity: Loading X.509 certificate: UEFI:db
1.898489] kernel: integrity: Loaded X.509 cert 'Canonical Ltd. Master Certificate Authority: ad91990bc22ab1f517048c23b6655a268e345a63'
1.898956] kernel: integrity: Loading X.509 certificate: UEFI:MokListRT
1.899146] kernel: integrity: Loaded X.509 cert 'openSUSE Secure Boot CA: 6842600de22c4c477e95be23dfea9513e5971762'
#
So, jetzt – „mokutil” …
# mokutil --list-enrolled
# mokutil --list-enrolled --mokx
Bei mir, liefert „–list-enrolled” ein Zertifikat – „openSUSE Secure Boot CA”.
Dazu, „–mokx” liefert 8 Zertifikaten –„openSUSE Secure Boot CA” – gültig bis Dezember 2022
„openSUSE Secure Boot CA” – gültig bis Juli 2023
„openSUSE Secure Boot CA” – gültig bis November 2029
„openSUSE Secure Boot CA” – gültig bis Juni 2030
„SUSE Linux Enterprise Secure Boot CA” – gültig bis Dezember 2022
„SUSE Linux Enterprise Secure Boot CA” – gültig bis Februar 2023
„SUSE Linux Enterprise Secure Boot CA” – gültig bis Januar 2026
„SUSE Linux Enterprise Secure Boot CA” – gültig bis Juli 2024
Prüfe ob, ein abgelaufene Zertifikat vorhanden ist – prüfe ob, in ‚/etc/uefi/certs/’ älterer Zertifikaten vorhanden sind – prüfe mit „rpm --query --whatprovides” für gewäiste Dateien …
Problematisch ist, die „.crt” Datei zu eine Zertifikat zu zuordnen …
Danke erstmal, das brachte mich auf die Spur:
2.203487] kernel: integrity: Loading X.509 certificate: UEFI:MokListRT
2.203491] kernel: integrity: **Problem loading X.509 certificate -74**
2.203513] kernel: integrity: Loading X.509 certificate: UEFI:MokListRT
2.203724] kernel: integrity: Loaded X.509 cert '**TPM2-TSS-generated rEFInd key**: 1fd7516d079a24c7ecc0444107f102e341fc0906'
Offensichtlich handelt es sich um ein Zertifikat, welches ich mal erstellt hatte, um beim Test einer anderen Distri diese zu signieren, um TPM zu aktivieren. (Hat natürlich nicht gefunzt… lol!)
Alle anderen Zertifikate sind von Suse und Grub und i.O. Wie bekomme ich nun den Eintrag aus der Liste raus?
Mit
mokutil --reset oder --revoke-cert
lösche ich ja bestimmt auch die Suse-Schlüssel, oder?
dcurtisfra:
Das MOK „blaues Bildschirm” beim booten (…)
Yeah, danke!
Nach deinen Hinweisen habe ich
mokutil --reset
gemacht und bin beim booten ins MOK gekommen und konnte dort den falschen key löschen - meine Suse bootet wieder ohne Fehler!