【FAQ】全志R329如何实现Tina secureboot 打包分离模式支持?
-
问题描述
目前Tina安全固件签名打包都是在一台PC机器上完成,此时签名的相关密钥也保存在此PC上。部分客户内部有专门的安全服务器存放安全密钥,不希望将密钥直接放在本地PC上。
问题分析
为保护签名密钥,有一种简单的方式,就是在安全服务器上搭建一份Tina环境,编译签名打包都在安全服务器上进行,这样就避免密钥分散到本地PC。
Tina SDK较大,编译时也会耗费大量CPU、内存、硬盘资源。有些客户的安全服务器性能达不到需求;另外部分客户安全服务器比较独立,只会存放关键数据,在安全服务器上存放大量内容,同时进行编译,是不允许的。此时需要在本地PC上进行编译,在安全服务器上使用密钥来进行签名打包。
解决办法
提供一种解决办法:签名服务器端只放key与打包脚本。本地编译完成后,先执行pack -s执行前半段的打包,即设置好各种配置文件、镜像、工具等,并存放在tina/client目录。将tina/client目录下内容复制到安全服务器端,安全服务器执行pack脚本继续后半段的签名打包。生成安全固件之后,再将安全固件从安全服务器复制到本地PC上。
请按照附件secure_server_pack.7z中的readme.txt进行操作。
secure_server_pack.7z -
-
-
-
-
Copyright © 2023 深圳全志在线有限公司 粤ICP备2021084185号 粤公网安备44030502007680号