<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Dec 8, 2017 at 2:35 AM, Prasanth Yogaraj -X (pyogaraj - MINDTREE LIMITED at Cisco) <span dir="ltr"><<a href="mailto:pyogaraj@cisco.com" target="_blank">pyogaraj@cisco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">





<div lang="EN-US">
<div class="gmail-m_-6379176697065510184WordSection1">
<p class="gmail-MsoNormal"><u></u> <u></u></p>
<p class="gmail-MsoNormal">Hi Team,<u></u><u></u></p>
<p class="gmail-MsoNormal">   I am trying iPXE boot in UEFI Secure boot in Cisco C240-M4 server, when I tried to boot into iPXE binaries the system is throwing secure boot violation Error as iPXE.efi is not a signed one. please provide us the procedure for signing
 the iPXE binary and also confirm us the support of iPXE in UEFI secure boot Mode.<u></u><u></u></p>
<p class="gmail-MsoNormal"><u></u><br></p></div></div></blockquote><div><br></div><div>It's unlikely that iPXE can, or will ever be able to, have a valid Secure Boot signature. iPXE is licensed GPL v2 (or later) [1]. Microsoft, who are in charge of Secure Boot signatures, will not sign software subject to GPL v3 [2], because doing so would obligate them to publicly disclose their signing keys [3]. Other Open Source projects that do have Secure Boot signed loaders use a shim [4] with another license (e.g. GPL v2 only, or a BSD variant) that is compatible with signed code.</div><div><br></div><div>If you want to use iPXE with Secure Boot, you'll need to use "Custom" or "User" mode and install your own key that you use to sign your own build of iPXE. ArchLinux wiki article on the subject [5] looks like it should get you where you need if you go down this path, for both injecting your own key into your Signature Database, and signing your boot loader. I haven't used this, and have no idea if it will actually work with iPXE or with your hardware.</div><div><br></div><div>[1] <a href="http://ipxe.org/licensing">http://ipxe.org/licensing</a></div><div>[2] <a href="https://blogs.msdn.microsoft.com/windows_hardware_certification/2013/12/03/microsoft-uefi-ca-signing-policy-updates/">https://blogs.msdn.microsoft.com/windows_hardware_certification/2013/12/03/microsoft-uefi-ca-signing-policy-updates/</a></div><div>[3] <a href="https://www.gnu.org/licenses/gpl-3.0.en.html">https://www.gnu.org/licenses/gpl-3.0.en.html</a></div><div>[4] <a href="https://github.com/rhboot/shim">https://github.com/rhboot/shim</a></div><div>[5] <a href="https://wiki.archlinux.org/index.php/Secure_Boot#Using_your_own_keys">https://wiki.archlinux.org/index.php/Secure_Boot#Using_your_own_keys</a></div></div></div></div>