Помимо генерации ключей для безопасной загрузки, необходимо позаботиться о подписании ключей. процедура создания ключей, подписания и сохранения их в хранилище ключей подробно описана здесь https://www.rodsbooks.com/efi-bootloaders/secureboot.html
Ключи безопасности можно разделить на две категории: частные и открытые, а безопасная загрузка следует цепочке корня доверия для добавления ключа PK => KEK => DB. Любые изменения в БД должны быть подписаны с использованием закрытого ключа KEK, изменения в KEK должны быть подписаны закрытым ключом PK, а изменения в PK требуют, чтобы ключ был подписан закрытым ключом предыдущего PK publik key.
Сгенерируйте пару PK и подпишите открытый ключ PK закрытым ключом. PK - это самоподписанный ключ.
Сгенерируйте пару KEK и подпишите открытый ключ KEK, используя закрытый ключ PK.
Сгенерируйте пару ключей БД и подпишите открытый ключ БД, используя закрытый ключ KEK
Сгенерируйте пару ключей DBX и подпишите пару ключей DBX, используя закрытый ключ KEK
Примечание: для замены предыдущего ПК из BIOS вам потребуется пустой ключ, подписанный владельцем платформы. Большинство BIOS позволяют изменять ключи без проверки, но в идеале этого нельзя допускать. Основная цель безопасной загрузки состоит в том, чтобы все можно было отследить до корня доверия и проверить.
Помимо создания совершенно нового набора ключей, вы также можете использовать MOK ключа владельца машины для регистрации нового ключа с безопасной загрузкой.
Сгенерируйте пару ключей
подпишите свою утилиту закрытым ключом (используя sbsign)
добавить публичный ключ в утилиту MOK (с помощью утилиты mokutility)