密钥对：公钥分发，私钥自留。常见的公钥格式：cer/der，常见的私钥格式：pfx。

BIOS中Secure Boot的原理：把公钥包在code里面，当使用gBS->LoadImage()去加载模块（UEFI Image）的时候会用BIOS里面的公钥去验证Image有没有正确签名，验证通过则Image成功被加载（签名实例：signtoolx64.exe sign -f 私钥.pfx -fd sha256 shell.efi）。

Secure Boot举例：

当我们在BIOS里面把Secure Boot[Enable]之后，会发现我们的U盘shell进不去，这是因为shell环境(bootx64.efi)没有经过签名，如果要使Secure Boot[Enable]之后，也能进U盘shell，需要对bootx64.efi进行签名，同时把签名用的私钥的对应公钥包到BIOS里面。

EDK II里面涉及的变量：

1. xxxDefault是用来存储变量的Default值的，一般来说是在Build BIOS的时候就已经包在最终生成的二进制文件里面。真正在代码里面使用的变量是db/dbx/dbr/dbt/KEK/PK。

2. setup mode时，key还没有load进来，这时就算Secure Boot[Enable]也是不起作用的。

3. 把key load进来之后变成user mode：

4. 我们上面提到的公钥一般存放在db里面（有时候公钥也会以cer文件的形式包到BIOS里面，私钥对应的是pfx文件）。

附：（下面的tool还没认真研究过，先备注一下）

1. 通过openssl创建密钥对：

>>>openssl.exe genrsa -out privkey.pem 2048

>>>openssl.exe   rsa     -in    privkey.pem -pubout -out pubkey.pem

2. 签名实例：signtoolx64.exe sign -f 私钥.pfx -fd sha256 %1  //%1用于从命令行输入文件名

3. Makecert.exe证书生成工具

4. pvk2pfx 用于将包含在spc cer pvkw文件中的公钥和私钥信息复制到个人信息交换（.pfx）文件中：

pvk2pfx -pvk CerTest.pvk -spc CerTest.cer -pfx CerTest.pfx

5. 下图是某个cer文件（OID）