Hay usuarios que no buscan un aumento en la seguridad al arrancar OpenCore y macOS sino únicamente una manera de poder tener UEFI Secure Boot habilitado y arrancar OpenCore sin deshabilitarlo en cada ocasión. Esto puede deberse a que quieren arrancar Windows con UEFI Secure Boot o a que la máquina que usan lo tiene habilitado y no pueden deshabilitarlo (equipos de empresa sobre todo).
Aunque probablemente el nivel de seguridad que proporciona este método es menor que el ya comentado en las entradas anteriores sobre este tema (crear nuestras propias claves en un sistema Linux, firmar digitalmente los archivos de OpenCore e incluir nuestras claves seguras en el firmware), es una manera mucho más sencilla y que consume mucho menos tiempo por lo que, si eres de los que sólo quieren poder arrancar OpenCore con UEFI Secure Boot habilitado, esto puede ser muy útil para ti.
Lo que se propone es añadir los archivos .efi de OpenCore a la variable segura db, que es una lista de firmas permitidas, para que UEFI Secure Boot acepte estos archivos .efi como seguros. No modificamos los archivos .efi, sólo le decimos al firmware que los considere seguros para que arranquen aunque UEFI Secure Boot esté habilitado.
- BIOS: Deshabilitar UEFI Secure Boot
- macOS
- Crear un USB de arranque y poner OpenCore en la partición EFI de la forma habitual
- Coger el archivo /usr/standalone/i386/boot.efi y colocarlo en la carpeta EFI de la memoria USB
- Reiniciar
- BIOS:
- Secure Boot >> Key Management >> Reset to Default Keys
- Secure Boot >> Key Management >> Enroll EFI image
- Añadir los archivos .efi uno por uno desde la carpeta EFI del dispositivo USB:
- EFI/BOOT/bootx64.efi
- EFI/OC/OpenCore.efi
- EFI/OC/Driver/.efi
- EFI/OC/Tools/.efi
- EFI/boot.efi
- Reiniciar
- BIOS:
- Habilitar UEFI Secure Boot
- Reiniciar
- Seleccionar la partición 1 del stick USB y comprobar si OpenCore y macOS arrancan como se espera.
Si todo funciona bien, podrás arrancar con esta misma versión de OpenCore desde cualquier unidad interna o externa con UEFI Secure Boot habilitado.
Siempre que actualices OpenCore deberás reemplazar los archivos .efi. Y cada vez que actualices macOS debes coger el nuevo archivo boot.efi de la carpeta i386 y volver a Enroll EFI Image. Quizás sea mejor hacer Secure Boot >> Key management >> Reset to Default Keys antes de registrar los nuevos archivos .efi.
Los usuarios que arrancan varias versiones de macOS en el mismo PC (por ejemplo, yo tengo 3 discos, Sonoma, Ventura y Sequoia beta) deben saber que el archivo boot.efi es diferente de uno a otro, por lo que todos ellos deben añadirse al firmware, un archivo boot.efi para cada sistema. Si no se hace esto, es posible que tengas errores OCB StartImage Failed al seleccionar un disco en el selector de OpenCore.
Windows arranca bien con UEFI Secure Boot habilitado ya que las variables seguras OEM y los certificados de Microsoft registrados en el firmware no se han modificado.
Este método parece tener un riesgo mucho menor de terminar con BIOS bloqueada.
Fuente
usuario slose1 (el enlace ya no es no accesible).
Este usuario propone añadir a la variable db 5 archivos de macOS además de los de OpenCore, son estos:
- /usr/standalone/firmware/FUD/MultiUpdater/MultiUpdater.efi
- /usr/standalone/firmware/FUD/USBCAccessoryFirmwareUpdater/HPMUtil.efi
- /usr/standalone/i386/boot.efi
- /usr/standalone/i386/apfs_aligned.efi
- /usr/standalone/i386/apfs.efi
Pero he probado con y sin registrar estos archivos de macOS en el firmware y he visto que el único archivo necesario, al menos en mi caso, es boot.efi. Insertando los archivos boot.efi y los .efi de OpenCore >> macOS arranca bien con UEFI Secure Boot habilitado. Por supuesto, también lo hace si añado los otros 4 archivos, pero a mí no me parecen necesarios.