2022年9月30日 · 重复导入已导入的证书时也会提示 SKIP: MOK.der is already enrolled。 对模块签名 在签名之前，可以查看 /proc/keys 以确保我们添加的密钥已经在内核中可见。

Executed the command sudo mokutil --delete for each MOK*.der individually. (always double prompted for the MOK password, sudo was the only way this worked for me - have been trying to remove these for way too long a time).

# 安装工具 sudo apt install mokutil sudo apt install shim-signed #更新 sudo update-secureboot-policy --new-key # 请保证在 /var/lib/shim-signed/mok/ 下面有相应的文件生成 openssl req -new …

2024年7月21日 · 为什么需要MOK，是因为在使用现代linux系统时（如：PVE），如果我们需要自己安装一些自己构建的驱动（例如想实现gpu sr-iov），会用到此功能。 BIOS (Basic Input/Output System) 和UEFI (Unified Extensible Firmware Interface) 这两个名字或者功能我们非常的熟悉了，机器开机自检完成后，一般f2/del等进入的界面，就是这个系统在显示工作。 如果我们不按f2/del等键，系统会默默运行BIOS或者UEFI，然后自动加载引导程序，然后加载OS来运行。 …

系统重启进入 UEFI 界面后，选择 "Enroll MOK"，输入 mokutil 导入公钥时设置的密码，以确认 enrollment 操作。 这样 key 就被注册成功了，启动后可通过 "mokutil --list-enrolled" 命令查看。

2024年2月20日 · To restart the MOK enrollment procedure with an existing key (with which your NVidia modules are already signed), run: It will ask you to set a one-time password for the completion of the enrolling procedure, which will happen during the next reboot.

On bare metal database servers and KVM hosts, you can remove keys associated with Secure Boot using the Machine Owner Keys (MOK) utility (mokutil). You must run the mokutil command as the root user.

2024年9月2日 · 根据Debian wiki对安全启动的描述中可以得知，Debian自带了EFI系统签名因此无需手动注册，但是由dkms加载的内核模块没有经过MOK的注册，因此需要手动注册：

2017年10月2日 · 我最近签署了一个内核模块来修复VMware的一个问题，下面是 升级到ubuntu 16.04后的vmware错误 和 如何用签名文件对内核模块进行签名？ 中描述的说明。 在安装了一些更新之后，问题又浮出水面。 我假设已经对内核进行了更新--并且已经卸载了签名模块--或者签名以某种方式失效了。 我假设我创建的公钥/私钥对仍然有效 (它们只是用来签名？ )那么，为什么我签署的模块不再有效？ 或者仅仅是不再安装？ SKIP: MOK.der is already enrolled. Could not …

2020年5月11日 · $ sudo mokutil --delete MOK-000<N>.der # where N is the number of the key to remove.... In my case, it ran from 1 to 8. The machine reboots and the mok utility shows. Follow the instructions and then, view the key to ensure it is the one you want to delete... if it is, proceed.