Ich nutze eigene SecureBoot Keys und bisher signiere ich meinen Kernel nach der Installation des bereits fertigen Paketes mit sbsign. Problem hier ist, dass ich den Private Key auch bei der Installation zur Hand haben muss. Gibt es nicht auch einen Weg den Kernel vor/während des Paketbaus zu signieren?
Ich erstelle mein kernel_image Paket wie folgt.
Code: Alles auswählen
make-kpkg -j8 --initrd --arch=amd64 --revision=0.1 --append-to-version=-amd64 --initrd kernel_image
Grüße
NACHTRAG:
Ich nutze efi-stub, daher lade ich den Kernel direkt ohne bootloader. Fall sich jemand fragt wieso ich nicht den bootloader signiere....