[参考译文] CC3220：如何在创建和编程映像时使我自己的证书为 cc3220所知？

admin

Other Parts Discussed in Thread: UNIFLASH

请注意，本文内容源自机器翻译，可能存在语法或其它翻译错误，仅供参考。如需获取准确内容，请参阅链接中的英语原文或自行翻译。

器件型号：CC3220

您好！

在开发时，我们使用 SDKSInstallDir\tools\cc32xx_tools\certificate-sproking 中的证书文件，而根 CA 在 certcatalogsprok-***.lst 文件中是已知的。

因此、创建和编程映像是可以的。

现在、我们尝试将证书替换为自签名证书。但在对映像进行编程时、uniflash 会通知根 ca 未知。

要更新或生成 certcatalog**.lst 以使自签名证书为 CC3220所知、我该怎么办？

0 admin 8 年多前

请注意，本文内容源自机器翻译，可能存在语法或其它翻译错误，仅供参考。如需获取准确内容，请参阅链接中的英语原文或自行翻译。

你好，郭雅威！

CC3220不支持使用自签名证书对 MCU 映像进行签名。如您所述、用于对 MCU 映像进行签名的链的根证书颁发机构(根 CA)必须为器件所知、因此必须存在于受信任的根证书目录中。目录只能由 TI 创建、因为它使用 TI 私钥签名、并使用器件 ROM 中的 TI 证书进行验证。

TI 可能会随着时间的推移使用已知的受信任根 CA 更新目录、但您无法使用自己的自签名证书创建新目录。在生产中使用设备时，您必须获取用于签名应用程序映像的证书，该应用程序映像的根 CA 列在目录中。

可在 SDK 中 tools/cc32xx_tools/certificate-catalog/readme.html 下的 readme.html 文件中找到生产目录中包含的根 CA 的完整列表。

注意：根据网络处理器编程人员指南的第7.5.4节、只能在安全套接字级别禁用受信任根证书目录。

此致、

本·M

0 admin 8 年多前

请注意，本文内容源自机器翻译，可能存在语法或其它翻译错误，仅供参考。如需获取准确内容，请参阅链接中的英语原文或自行翻译。

您好、Ben M

感谢您的回答！

受信任根证书目录随 SDK 一起发布。我认为目录文件似乎是已知根 CA 的根 CA 文件列表。但是目录知道的根 CA 文件存储在哪里？根 CA 文件是否使用 Service Pack 进行了更新？？或者在 MCU 芯片生成期间烧录根 CA 文件、则永远不会更新这些文件。

受信任根 CA 是否具有有效的类等效证书？如果根 CA 的当前版本已过时，则无法下载根 CA 生成的旧版本映像及其签名证书，因此无法更新产品的固件。

另一个问题是如何在证书过期后将证书文件更新到产品？

BR、

郭耀威

0 admin 8 年多前

请注意，本文内容源自机器翻译，可能存在语法或其它翻译错误，仅供参考。如需获取准确内容，请参阅链接中的英语原文或自行翻译。

尊敬的郭耀威：

目录文件存储根 CA 的指纹和名称，而不是整个证书。在为生产编程时、必须将使用的根 CA 加载到器件上。在 OTA 更新过程中、可能会也可能不会更新。

虽然根 CA 证书有效的时间段、但器件在引导过程中不会进行检查。这是一个设计决定、因为并非所有应用程序都设置了 RTC (验证日期时需要使用 RTC)、并且如果在文件到期后执行该检查、可能会导致工厂复位失败。

用于 SSL/TLS 的证书应在到期前更新和更新。

此致、

本·M

Wi-Fi®︎（参考译文帖）(Read Only)