Não. No UEFI há-de estar a chave pública do certificado, depois cada kernel é assinado sempre com a mesma chave privada correspondente ao certificado, nunca sendo preciso substituir a chave no UEFI.Então assinas o kernel. Então a cada updare tens que ir por o certificado na UEFI
Da mesma forma que ao ter o certificado da Microsoft permite correr qualquer coisa que seja assinada por esse mesmo certificado, não apenas uma única coisa.