别再被MOK搞懵了！图文详解Linux安装VMware 17时‘Enroll MOK’选项的正确操作

深入解析Linux安装VMware 17时的MOK密钥管理全流程

在Linux系统上安装VMware Workstation 17时，许多用户都会遇到一个令人困惑的环节——MOK（Machine Owner Key）密钥管理。这个看似简单的步骤，却让不少经验丰富的Linux用户也感到头疼。本文将带您深入了解MOK的来龙去脉，并提供一套完整的解决方案。

1. MOK密钥管理的核心原理

MOK密钥是现代Linux系统安全启动机制的重要组成部分。当您尝试安装VMware Workstation 17时，系统会要求您为VMware的内核模块（如vmmon和vmnet）进行数字签名。这是因为现代Linux内核启用了模块签名验证功能，只有经过可信密钥签名的内核模块才能被加载。

为什么需要MOK？

• 内核模块签名是Linux安全模型的关键部分
• 防止未经认证的代码加载到内核空间
• 确保系统完整性免受恶意软件侵害

在Ubuntu、CentOS等主流发行版中，安全启动(Secure Boot)功能默认启用。这意味着所有内核模块必须经过签名才能加载。VMware提供的模块没有预签名，因此需要用户自行创建密钥并签名。

2. 准备工作与环境检查

在开始之前，我们需要确保系统环境准备就绪：

# 检查当前内核版本 uname -r # 确认是否启用了安全启动 mokutil --sb-state

如果输出显示"SecureBoot enabled"，则说明我们需要进行MOK密钥管理流程。同时，请确保已安装必要的开发工具：

# Ubuntu/Debian系统 sudo apt install build-essential linux-headers-$(uname -r) # CentOS/RHEL系统 sudo yum install kernel-devel-$(uname -r)

3. 密钥生成与模块签名详细步骤

3.1 创建MOK密钥对

首先生成密钥对，这将用于为VMware模块签名：

openssl req -new -x509 -newkey rsa:2048 \ -keyout MOK.priv -outform DER -out MOK.der \ -nodes -days 36500 -subj "/CN=VMware/"

这条命令会生成两个文件：

• MOK.priv: 私钥文件，用于签名模块
• MOK.der: 公钥文件，将导入到系统的MOK数据库

3.2 定位VMware内核模块

接下来，我们需要找到需要签名的VMware模块：

# 查找vmmon和vmnet模块位置 sudo find /lib/modules/$(uname -r) -name vmmon.ko sudo find /lib/modules/$(uname -r) -name vmnet.ko

3.3 为模块签名

使用生成的密钥为模块签名：

# Ubuntu/Debian系统 sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file \ sha256 ./MOK.priv ./MOK.der $(modinfo -n vmmon) sudo /usr/src/linux-headers-$(uname -r)/scripts/sign-file \ sha256 ./MOK.priv ./MOK.der $(modinfo -n vmnet) # CentOS/RHEL系统 sudo /usr/src/kernels/$(uname -r)/scripts/sign-file \ sha256 ./MOK.priv ./MOK.der /lib/modules/$(uname -r)/misc/vmmon.ko sudo /usr/src/kernels/$(uname -r)/scripts/sign-file \ sha256 ./MOK.priv ./MOK.der /lib/modules/$(uname -r)/misc/vmnet.ko

4. MOK密钥导入与系统重启

4.1 导入MOK密钥到系统

sudo mokutil --import MOK.der

执行此命令后，系统会提示您设置一个临时密码（长度至少8个字符）。这个密码将在重启后使用，用于确认密钥导入操作。

4.2 重启系统并完成注册

重启后，系统会进入MOK管理界面（通常是蓝色或黑色背景）。以下是典型选项和操作步骤：

1. 选择"Enroll MOK"（注册MOK）
2. 选择"Continue"（继续）
3. 选择"Yes"确认导入密钥
4. 输入之前设置的临时密码
5. 选择"Reboot"完成操作

注意：不同发行版的界面可能略有不同，但基本流程一致。如果找不到完全相同的选项，寻找包含"MOK"字样的选项即可。

5. 常见问题与解决方案

5.1 重启后没有出现MOK界面

如果重启后直接进入系统而没有出现MOK管理界面，可能是以下原因：

1. 安全启动未启用
2. 密钥导入未成功
3. 系统快速启动跳过了界面

解决方案：

# 再次检查安全启动状态 mokutil --sb-state # 确认密钥是否已排队等待导入 mokutil --list-new

5.2 签名后模块仍然无法加载

如果完成所有步骤后VMware仍然报错，尝试：

# 检查模块签名状态 modinfo vmmon | grep signature modinfo vmnet | grep signature # 重新加载内核模块 sudo modprobe -r vmmon vmnet sudo modprobe vmmon sudo modprobe vmnet

5.3 忘记MOK密码

如果忘记了设置的临时密码，需要重新开始流程：

1. 生成新的密钥对
2. 重新签名模块
3. 导入新密钥并设置新密码

6. 高级配置与自动化管理

对于需要频繁更新内核或VMware版本的用户，可以考虑自动化这一流程：

#!/bin/bash # 自动化签名脚本 KEYDIR="/etc/vmware-mok" MODULES="vmmon vmnet" mkdir -p $KEYDIR openssl req -new -x509 -newkey rsa:2048 \ -keyout $KEYDIR/MOK.priv -outform DER -out $KEYDIR/MOK.der \ -nodes -days 36500 -subj "/CN=VMware/" for module in $MODULES; do /usr/src/linux-headers-$(uname -r)/scripts/sign-file \ sha256 $KEYDIR/MOK.priv $KEYDIR/MOK.der \ $(modinfo -n $module) done mokutil --import $KEYDIR/MOK.der

将此脚本保存为vmware-sign.sh并赋予执行权限，每次内核更新后运行即可。