先放个图：

这几天折腾了一下，在了解UEFI这块东西的基础知识后发现安全启动问题不大。deepin无法在安全启动开启的情况下启动，主要有两个原因：

1. shim中的SBAT过期了，因此启动的时候会出现“SBAT self-test failed”错误，开发者已经在申请了，参考这里，以后的版本应该就会有新的shim；
2. 主板中没有预置deepin的证书，目前可通过enroll MOK解决，后续shim更新之后就不需要这个步骤了。

因此，只需要找个可靠的shim，再导入MOK即可。幸运的是，ventoy已经提供了这些文件。

以下是**单盘单系统（多系统应该会略有不同，请自行研究）**的操作步骤：

1. 准备一个ventoy启动盘，务必使用最新版的ventoy，参考ventoy的安全启动文档操作，能进入ventoy说明已经OK了；
2. 在ventoy启动盘“VTOYEFI”分区的“/EFI/BOOT/”目录下，提取BOOTX64.efi文件；
3. 重启进入ventoy，选中deepin的iso，使用grub2模式，此时正常安装deepin即可；
4. 重启再次进入ventoy，进入deepin的LiveCD模式，使用mokutil enroll证书，文件在附件中（也可以直接在ventoy中去执行mmx64.efi）；
5. 在LiveCD中mount EFI分区，此时的分区应该是这样的：

用ventoy中的BOOTX64.efi替换掉里面的BOOTX64.EFI和shimx64.efi即可。单盘单系统下还需要在EFI/BOOT目录下替换同样的文件。

Deepin CA：

deepin_secure_boot_ca.zip