【FAQ】全志R329如何实现Tina secureboot 打包分离模式支持？

q1215200171

问题描述

目前Tina安全固件签名打包都是在一台PC机器上完成，此时签名的相关密钥也保存在此PC上。部分客户内部有专门的安全服务器存放安全密钥，不希望将密钥直接放在本地PC上。

问题分析

为保护签名密钥，有一种简单的方式，就是在安全服务器上搭建一份Tina环境，编译签名打包都在安全服务器上进行，这样就避免密钥分散到本地PC。

Tina SDK较大，编译时也会耗费大量CPU、内存、硬盘资源。有些客户的安全服务器性能达不到需求；另外部分客户安全服务器比较独立，只会存放关键数据，在安全服务器上存放大量内容，同时进行编译，是不允许的。此时需要在本地PC上进行编译，在安全服务器上使用密钥来进行签名打包。

解决办法

提供一种解决办法：签名服务器端只放key与打包脚本。本地编译完成后，先执行pack -s执行前半段的打包，即设置好各种配置文件、镜像、工具等，并存放在tina/client目录。将tina/client目录下内容复制到安全服务器端，安全服务器执行pack脚本继续后半段的签名打包。生成安全固件之后，再将安全固件从安全服务器复制到本地PC上。

请按照附件secure_server_pack.7z中的readme.txt进行操作。
secure_server_pack.7z