Добавьте Ubuntu EFI DB и PK назад в UEFI

Во-первых, двоичный файл Контейнера Ubuntu включает копию Канонического (Ubuntu) открытый ключ, встроенный в нем, и этот двоичный файл подписывается Microsoft, таким образом, должно быть возможно загрузиться без Канонического ключа в Вашем встроенном микропрограммном обеспечении. Тем не менее Вы могли бы столкнуться с проблемой, которую Вы описываете, используете ли Вы другой двоичный файл Контейнера - говорят, если Вы - двойная загрузка с Fedora и используете Контейнер Fedora для запущения процесса начальной загрузки. (Кроме того, посмотрите самый конец этого ответа....),

В таком случае необходимо смочь использовать инструмент MokManager для добавления ключа Canonical к списку MOK, который прочитает Shim. MokManager должен быть на Системном разделе EFI (ESP) Вашего диска вместе с двоичным файлом Shim. Идеально, MokManager должен быть опцией на любом GRUB или другом меню диспетчера начальной загрузки, которое Вы видите, когда Вы загружаетесь. В противном случае Вы могли корректироваться /boot/grub/grub.cfg файл для добавления такой записи, которая должна быть похожей на это:

menuentry "MokManager" {
    insmod part_gpt
    insmod chain
    set root='(hd0,gpt1)'
    chainloader /EFI/fedora/MokManager.efi
}

Необходимо будет скорректировать ту запись для конкретной системы. В частности, set root опция должна указать на Ваш ESP, который мог бы или не мог бы быть (hd0,gpt1); и путь к MokManager мог бы быть чем-то другим, чем, что я указал. (Я показываю путь Fedora примером. Обратите внимание, что необходимо указать на двоичный файл MokManager, который идет с двоичным файлом Контейнера, который Вы используете.)

Существует несколько других опций, доступных Вам:

1. Вы могли отключить Защищенную загрузку полностью. Это - самый легкий подход, но Защищенная загрузка существует для улучшения безопасности, таким образом, я не рекомендую это как правило, особенно если Вы - двойная загрузка с Windows. Детали того, как отключить его, варьируются значительно от одной системы до другого. Я представляю несколько примеров на этой моей странице.
2. Вы могли взять на себя полное управление Защищенной загрузки и добавить Канонический открытый ключ к Вашему встроенному микропрограммному обеспечению, как описано на этой моей странице. Этот подход для тех, которые имеют значительную "улицу фаната creds", хотя; это технически сложно, и даже люди, которые довольны инструментами командной строки, вероятно, будут бороться немного. Я упоминаю этот подход главным образом, потому что заголовок Вашего вопроса относится к PK и дб, которые являются ключами, сохраненными таким образом. Стандартный подход Canonical к Защищенной загрузке не включает изменение этих ключей, но эти переменные корректируются, когда Вы берете на себя полное управление Защищенной загрузки. Если Вы сделали это прежде, возможно, все, в чем Вы нуждаетесь, указатель на соответствующую документацию, таким образом, это - она....