Scroll to navigation

SYSTEMD-SBSIGN(1) systemd-sbsign SYSTEMD-SBSIGN(1)

الاسم

systemd-sbsign - توقيع ثنائيات PE للإقلاع الآمن EFI

موجز

systemd-sbsign [خيارات...] {أمر}

الوصف

يمكن استخدام systemd-sbsign لتوقيع ثنائيات PE للإقلاع الآمن EFI.

الأوامر

sign

يوقع ثنائي PE المحدد للإقلاع الآمن EFI. يأخذ مسارًا إلى ثنائي PE كوسيط له. إذا كان ثنائي PE يحتوي بالفعل على جدول شهادات، ستُضاف التوقيع الجديد إليه. وإلا، سيُنشأ جدول شهادات جديد. سيُكتب ثنائي PE الموقع إلى المسار المحدد مع --output=.

أُضيف في الإصدار 257.

الخيارات

الخيارات التالية مفهومة:

--output=المسار

يحدد المسار حيث يُكتب ثنائي PE الموقع أو البيانات التي ستُوقع دون اتصال عند استخدام خيار --prepare-offline-signing.

أُضيف في الإصدار 257.

--private-key=المسار، --private-key-source=النوع[:الاسم]، --certificate=المسار، --certificate-source=النوع[:الاسم]

يضبط المفتاح الخاص وشهادة الإقلاع الآمن للاستخدام مع الفعل sign. يأخذ خيار --certificate= مسارًا إلى شهادة X.509 مشفرة بـ PEM أو URI يُمرر إلى مزود OpenSSL المكون مع --certificate-source. يأخذ خيار --certificate-source أحد "file" أو "provider"، حيث يتبعه الأخير بمعرف مزود محدد، مفصول بنقطتين، مثل "provider:pkcs11". يأخذ خيار --private-key= مسارًا أو URI سيُمرر إلى محرك أو مزود OpenSSL، كما هو محدد بواسطة --private-key-source= كزوج "type:name"، مثل "engine:pkcs11". سيُستخدم محرك أو مزود توقيع OpenSSL المحدد لتوقيع ثنائي PE.

أُضيف في الإصدار 257.

--prepare-offline-signing

عند تحديد هذا الخيار، يكتب أمر sign البيانات التي يجب توقيعها إلى المسار المحدد مع --output= بدلاً من كتابة ثنائي PE الموقع. يمكن بعد ذلك توقيع هذه البيانات خارج النطاق، وبعدها يمكن إرفاق التوقيع بثنائي PE باستخدام خياري --signed-data= و --signed-data-signature=.

أُضيف في الإصدار 258.

--signed-data=مسار, --signed-data-signature=مسار

يضبط البيانات الموقعة (كما كُتبت إلى المسار المحدد مع --output= عند استخدام خيار --prepare-offline-signing) والتوقيع المقابل لأمر sign.

أُضيف في الإصدار 258.

-h، --help

اطبع نص مساعدة قصير واخرج.

--version

اطبع سلسلة إصدار قصيرة واخرج.

أمثلة

مثال 1. توقيع إقلاع آمن EFI دون اتصال لثنائي PE

يقوم التالي بتوقيع إقلاع آمن دون اتصال لـ systemd-boot:

SD_BOOT="$(find /usr/lib/systemd/boot/efi/ -name "systemd-boot*.efi" | head -n1)"
# Extract the data that should be signed offline.
/usr/lib/systemd/systemd-sbsign \

sign \
--certificate=secure-boot-certificate.pem \
--output=signed-data.bin \
--prepare-offline-signing \
"$SD_BOOT" # Sign the data out-of-band. This step usually happens out-of-band on a separate system. openssl dgst -sha256 -sign secure-boot-private-key.pem -out signed-data.sig signed-data.bin # Attach the signed data and its signature to the systemd-boot PE binary. /usr/lib/systemd/systemd-sbsign \
sign \
--certificate=secure-boot-certificate.pem \
--output="$SD_BOOT.signed" \
--signed-data=signed-data.bin \
--signed-data-signature=signed-data.sig \
"$SD_BOOT"

انظر أيضًا

bootctl(1)

ترجمة

تُرجمت هذه الصفحة من الدليل بواسطة زايد السعيدي <zayed.alsaidi@gmail.com>

هذه الترجمة هي وثيقة مجانية؛ راجع رخصة جنو العامة الإصدار 3 أو ما بعده للاطلاع على شروط حقوق النشر. لا توجد أي ضمانات.

إذا وجدت أي أخطاء في ترجمة صفحة الدليل هذه، يرجى إرسال بريد إلكتروني إلى قائمة بريد المترجمين: kde-l10n-ar@kde.org.

systemd 260.1