编译Linux内核添加签名和秘钥signing_key.pem

原创 已于 2025-06-28 15:06:12 修改 · 786 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#linux

于 2024-10-29 22:05:06 首次发布

在编译linux内核的时候报错,提示没有秘钥文件

首先要配置一下,用默认的就行

make defconfig
# 或者
make oldconfig

然后进入.config文件查看配置文件

xxxx@xxxx:~/linux-5.15$ gedit .config

可以看到CONFIG_MODULE_SIG_KEY的文件名是 signing_key.pem

#
# Certificates for signature checking
#
CONFIG_MODULE_SIG_KEY="certs/signing_key.pem"
CONFIG_MODULE_SIG_KEY_TYPE_RSA=y
# CONFIG_MODULE_SIG_KEY_TYPE_ECDSA is not set
CONFIG_SYSTEM_TRUSTED_KEYRING=y
CONFIG_SYSTEM_TRUSTED_KEYS=""
CONFIG_SYSTEM_EXTRA_CERTIFICATE=y
CONFIG_SYSTEM_EXTRA_CERTIFICATE_SIZE=4096
CONFIG_SECONDARY_TRUSTED_KEYRING=y
CONFIG_SYSTEM_BLACKLIST_KEYRING=y
CONFIG_SYSTEM_BLACKLIST_HASH_LIST=""
CONFIG_SYSTEM_REVOCATION_LIST=y
CONFIG_SYSTEM_REVOCATION_KEYS=""
# end of Certificates for signature checking

然后我们进入certs文件夹 如果没有就创建一个

# 进入 certs 目录
cd certs

# 生成私钥
openssl genpkey -algorithm RSA -out signing_key.pem -pkeyopt rsa_keygen_bits:2048

# 生成证书请求
openssl req -new -key signing_key.pem -out signing_key.csr -sha256

# 自签名生成证书
openssl x509 -req -days 365 -in signing_key.csr -signkey signing_key.pem -out signing_key.crt

按照提示输入信息,不输入也没事

# 将生成的证书转换为 x509 格式 如果需要):

openssl x509 -in signing_key.crt -out signing_key.x509 -outform DER

或者直接一点 直接输入这行命令生成密钥

openssl req -new -x509 -newkey rsa:2048 -keyout signing_key.pem -outform DER -out signing_key.x509 -nodes -days 36500 -subj "/CN=My Kernel Signing Key/"

然后返回根目录

重新编译安装

cd ..
sudo make clean
sudo make -j12
sudo make install

重启,选择刚安装好的版本进入就好了

如有错误,欢迎批评指正

TeAmo_Fa
关注
Linux内核签名及校验机制全攻略
Linux内核研究者
11-21 3069
本文详细介绍了内核模块签名的基本原理、工作流程、具体实现步骤,以及常见问题的解决方法。通过配置内核选项、生成使用密钥对、签名验证文件,可以有效增强系统的安全性完整性。GRUB引导加载器的签名验证功能进一步确保了启动过程的安全。
Linux内核编译错误:make[1]: *** 没有规则可制作目标“debian/canonical-certs.pem”,由“certs/x509_certificate_list” 需求。 停止
热门推荐
m0_51203305的博客
10-17 3万+
#Linux内核编译出错 make1: *** 没有规则可制作目标“debian/canonical-certs.pem”,由“certs/x509_certificate_list” 需求。 停止。 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计 ,将会带来全新的写作体验; 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示; 增加了 图片拖拽 功能,你可
linux中给自己编译的模块签名
qq_55914897的博客
01-08 946
输出格式:第一个命令生成PEM格式的文件,而第二第三个命令生成DER格式的文件。有效期:第二个第三个命令设置了非常长的有效期(36500天),而第一个命令设置了标准的365天。输入方式:第三个命令使用配置文件来自动处理输入,而前两个命令要么直接在命令行指定主题信息,要么通过交互式提示来获取。用途特定需求:第一个命令适用于一般测试或内部使用,第二个命令可能用于特定的安全需求(如UEFI安全启动),第三个命令适用于需要自动化/或详细配置的场景。[ req ]O =
kernel 默认安装的坑【Linux kernel-5.7】
weixin_48357899的博客
06-05 1222
Linux kernel 5.7在最小化Debian编译安装 小坑 modules signature 模块签名是个坑 最好在config(推荐menuconfig)时在 modules support下 选择自动签名(automatic*选项) make时(没必要make *mage)网上的过期了,别太信 停止的话尝试再次make 仍不能make通过的话(因为签名的话) 在.config里注释CONFIG_MODULES_SIG的选项 第844行左右吧 其他的,安转什么的自己看着办吧 网上解决办法的
sign-file: certs/signing_key.pem: 解决方法
乐于分享
12-15 6155
使用ubuntu18.04环境,在make之后,make install 加载时,出现如下错误: At main.c:158: - SSL error:02001002:system library:fopen:No such file or directory: bss_file.c:175 - SSL error:2006D080:BIO routines:BIO_new_file:no such file: bss_file.c:178 sign-file: certs/signin...
linux 内核签名
qq_40227064的博客
04-28 5065
linux 驱动签名linux内核驱动安全机制
make[1]: *** 没有规则可制作目标“cert/signing_key.pem”,由“certs/signing_key.x509” 需求。 停止。 make: *** [Makefile:1871:certs] 错误 2
02-10
mv signing_key.pem signing_key.x509 /usr/src/linux-headers-$(uname -r)/certs/ ``` 此过程确保了编译环境能够访问到正确的签名材料,从而避免因为找不到所需的目标而终止构建流程的问题发生[^2]。 另外,在...
内核编译过程中如何确保 signing_key.x509 被正确嵌入?
08-04
### 验证内核编译过程中 signing_key.x509 是否被正确嵌入 在 Linux 核构建过程中,确保 `signing_key.x509` 被正确嵌入是模块签名机制正常工作的前提。这一过程涉及内核构建系统、配置选项以及文件路径的正确设置...
快速编译Linux内核需要的模块方法
03-04
传统的编译内核模块的方式可能涉及到复杂的配置编译过程,但这篇文章介绍了一种快速编译所需内核模块的方法,尤其是对于那些需要支持NTFS文件系统的用户来说,这是一个非常实用的技巧。 首先,我们需要找到合适的...
INSTALL /home/uih/jianbin/XDMA/linux-kernel/xdma/xdma.ko At main.c:167: - SSL error:02001002:system library:fopen:No such file or directory: ../crypto/bio/bss_file.c:72 - SSL error:2006D080:BIO routines:BIO_new_file:no such file: ../crypto/bio/bss_file.c:79 sign-file: certs/signing_key.pem: No such file or directory DEPMOD 5.4.0-150-generic Warning: modules_install: missing 'System.map' file. Skipping depmod. make[1]: Leaving directory '/usr/src/linux-headers-5.4.0-150-generic'
最新发布
11-29
`System.map`是内核符号表,在编译内核时生成。在安装模块时,某些步骤可能需要它(例如,生成模块依赖关系)。如果它不存在于标准位置(如`/lib/modules/$(uname -r)/build/System.map`),则会出现警告。 ### ...
linux签名服务器,linux – 如何在远程服务器上使用gpg签名密钥?
weixin_34496367的博客
05-04 410
您可以使用OpenSSH> = 6.7GnuPG> = 2.1执行此操作.OpenSSH 6.7引入了unix套接字转发,用于转发gpg-agent套接字.并且GnuPG 2.1摆脱了secring.gpg将私钥管理委托给gpg-agent.这避免了必须将私钥保留在远程计算机上.首先,您需要在本地客户端上设置一个额外的套接字.将此行添加到您的gpg-agent.conf中extra-...
内核编译签名问题
sinat_16199139的博客
06-21 591
前置知识:
创建API Signing Key
engchina的专栏
04-01 1198
1,创建private key 创建有密码的private key openssl genrsa -out oci_api_key.pem -aes128 2048 或者创建无密码的private key openssl genrsa -out oci_api_key.pem 2048 2,变更权限 chmod go-rwx oci_api_key.pem 3,创建publi...
Android使用固定的key给ko(kernel module) 签名
Deep Lee的专栏
10-13 2186
Android 原生默认每次编译使用自动生成在out目录的 pemx509文件签名,由于种种原因我们可能需要使用固定的key给ko做签名,经过研究发现如果要使用固定的key签名,需要做一下修改。
关掉模块的验证CONFIG_MODULE_SIG
jason的笔记
11-16 1万+
遇到下面的bug,是由于模块验证不通过造成的,有一个workaround的方法是在config文件中关掉CONFIG_MODULE_SIG 这个选项,系统就可以起来了 [    9.827069] ------------[ cut here ]------------ [    9.831763] kernel BUG at crypto/asymmetric_keys/public
Linux kernel模块内核签名问题解决方法
王涵的博客
06-02 2万+
Linux kernel模块内核签名问题解决方法前提:有公匙私匙公匙:signing_key.x509 私匙:signing_key.priv使用内核自带工具$ perl <kernel_path>/scripts/sign-file sha512 signing_key.priv signing_key.x509 <module>.kokernel_path填写内核根目录路径module处填写模
编译内核 make modules_install报错SSL error:02001002:system library:fopen:No such file or directory
weixin_52592969的博客
11-12 1万+
操作系统内核编译make modules_install报错
【无标题】
redparrot2008的博客
04-05 1320
sign-file: certs/signing_key.pem: 解决方法(zhuan)
insmod时vermagic报错及签名报错处理
ARM的三级流水线结构(二)
11-03 1442
insmod 驱动时,vermagic报错处理方法: uname -a查看环境上的vermagic 若驱动代码一致,可强制修改include/generated/utsrelease.h中UTS_RELEASE宏,与环境保持一致,再编译出KO。 **签名报错:**signature and/or required key missing - tainting kernel **原因:**内核开启了签名,驱动未进行签名内核中的签名相关选项: CONFIG_MODULE_SIG_FORMAT=y CONFI
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值