• 状态 Resolved
  • 已锁定 已锁定
  • 个回复 17 个回复
  • 名订阅用户 0 名订阅用户
  • 次查看 108 次查看
  • 用户 0 名在线用户
选项
选项
相关

This thread has been locked.

If you have a related question, please click the "Ask a related question" button in the top right corner. The newly created question will be automatically linked to this question.

[参考译文] CC3220SF:获取用于安全引导的生产证书

admin
Guru**** 1457880 points
Other Parts Discussed in Thread: CC3220SF, UNIFLASH, TIDC-01005
请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

https://e2e.ti.com/support/wireless-connectivity/wi-fi-group/wifi/f/wi-fi-forum/878184/cc3220sf-obtaining-certificates-for-production-for-secure-boot

器件型号:CC3220SF
主题中讨论的其他器件: UNIFLASHTIDC-01005

您好!

我一直在处理 CC3220sf 中的一个 WiFi 应用。

到目前为止,在使用 uniflash 时,我使用 了“dummy-root-ca-cert” “dummy-root-ca-cert” “dummy-root-ca-cert ” “dummy-trusted-ca-cert”“dummy-trust-ca-cert”来刷写我的开发并运行我的应用程序。

现在、要开始生产、我需要使用我自己的证书。

获取和创建证书的步骤是什么? 哪些是必需的证书?

在 MQTT 功能的应用程序中、我使用安全的方式连接到 AWS 代理、在那里 我使用 AWS 证书。

它具有私钥、证书和星型字段类2证书根 CA。

是否可以使用相同的根 CA 和私钥?

或者在器件侧、为了实现安全启动 、我是否需要我自己的证书? 我对如何完成这项工作感到困惑?

我已参阅  SimpleLinkTmWi-FiRegistered证书处理文档,但我的疑问仍未消除。

此致

Sanath Rai

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好!

    我个人建议购买 证书。 它的成本为474美元、您只能购买一年(因为您可以使用过期的证书签署代码、而不会出现任何问题)。

    1月

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Jan、

    感谢您的回复。

    因此、每个 CC3220SF 器件只需一个证书即可对我的应用程序映像进行身份验证?

    因此、当我使用 Uniflash 选择我的 MCU 映像时、我需要在"签名文件名: "部分中附加此获得的证书、对吧?

    为什么即使证书在过期后也只能使用一年? 我没有明白这一点吗?

    此致

    Sanath Rai

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好!

    为了实现安全引导、您需要使用代码签名证书。 您可以从支持的 CA 之一(例如 DigiCert)购买此证书。 作为第二个选项、您可以使用 供应商证书。 但我不建议使用供应商证书、因为它会使最终产品制造复杂化(您不能使用 GANG 编程、而只需使用 Uniflash)。

    通过 Uniflash GUI、您可以插入私钥(请参阅下拉框"签名文件名")来对固件二进制文件进行签名。

    您可以购买证书多年、但成本会更高。 一年的时间和证书足以用于安全启动。 引导期间的 ROM 引导程序不会测试代码签名证书的过期。 因为 bootlaoder 不知道当前日期。 在将私钥保密之前、在 CC3220中使用过期代码签名证书不存在安全风险。

    1月

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好!

    感谢详细的解释。

    但是、我的应用基于 WiFi 门锁参考设计 TIDC-01005、其中 MQTT 是其中一项功能、我们计划将 AWS 作为中间商、我们需要在其中生成不同的证书、并需要通过 Uniflash 转储证书、而现在我正在为我的进行此操作 测试。

    现在、对于安全启动、它可能只是一个用于代码签名的证书、但在 MQTT 中 、每个 cc3220sf 器件需要不同的证书、对吧?

    此致、

    Sanath

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Sanath、

    我猜是这样、但我无法确认、因为我不使用 AWS。

    1月

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Jan、

    好的。

    对代码签名证书的最后一个疑问。

    下面的所有证书

    dummy-root-ca-cert“ dummy-root-ca-cert-key” “dummy-trusted-ca-cert ”“dummy-trusted-ca-cert-key”  

    我在开发模式下使用的是 哪种证书 将被一个代码签名证书所取代?

    很抱歉,如果这是个愚蠢的问题。我不熟悉这个问题。

    此致、

    Sanath

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Sanath、

    您需要上传链中的所有证书(根证书、中间证书、代码签名证书)。 请 参阅 我的旧帖子中的图片。

    1月

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Jan、

    好的。明白了。

    我将在获得证书后进行研究。

    感谢您的解释。

    此致、

    Sanath

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好!

    是的、您需要购买正确的证书。

    • 根证书需要位于证书目录中(请参阅 SDK)
    • 购买支持签名的证书- PKCS#1、RSA 256或128字节、SHA-1 (签名长度为256或128字节)。 请勿购买 SHA-384 或 SHA-512证书。  SHA-384或 SHA-512不能在证书链中。
    • 不要在 USB 令牌处购买具有私钥的证书(私钥需要位于文件内)

    1月

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Jan、

    感谢您提供相关信息。

    根证书是否包含在  我们 购买的文件系统内的 DigiCert 证书链中?

    此致

    Sanath

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Sanath、

    根证书和中间证书,您可以从 CA 的网页下载。 您需要将这些文件上载到 sFlash 中、其名称与证书中的 CN 完全相同。

    购买证书后、您可能会从 CA 获得*。pfx 文件。 您需要从此*。pfx 中提取您的私钥和证书。 您将上传到 sFlash (与根证书和中间证书相同的方式)的证书以及您将在 Uniflash 内部用于对代码二进制进行签名的私钥。

    1月

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Jan、

    好的。明白了。

    我们将遵循您提供的信息。

    谢谢你

    此致

    Sanath

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好 Jan、

    昨天、我忘记了提及以下一点。

    到目前为止、我用于对定制板进行编程的方法如下所示

    首先、在 SOP2模式下、我用于将 MQTT 证书刷写到外部闪存中。

    然后在 SOP0模式下、我使用 Code Composer Studio 在 SWD 接口中进行调试、刷写我的应用程序代码、即使在上电复位后、它也能正常工作。

    现在、我正在尝试使用 TI 的虚拟证书使用 UNIFLASH 刷写应用代码。  我可以刷写它、但代码无法从 flash.it启动、无法正常工作。

    我不明白发生了什么?

    此致

    Sanath

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Sanath、

    很难说出可能会出什么问题...

    • 您的应用程序可能未正确构建(S/SF 器件的链接器文件之间不匹配)。 我记得您之前已经遇到了一些链接器文件问题。
    • 您可能未正确使用 Uniflash。
    • 或者、您可能已经使用 _SF_DEBUG__宏构建了您的代码

    1月

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Jan、

    是的、我已经使用 _SF_DEBUG__ 宏构建了我的代码。 以及 我在 Uniflash 中使用的同一个 bin。

    此致

    Sanath

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Sanath、

    如果要将二进制文件上载到 sFlash 中、则需要在构建时不使用此宏。

    1月

  • 0
    TI__Guru**** 1457880 points
    请注意,本文内容源自机器翻译,可能存在语法或其它翻译错误,仅供参考。如需获取准确内容,请参阅链接中的英语原文或自行翻译。

    您好、Jan、

    非常感谢 Jan,

    这是  CCS 中的 issue.using __SF_debug__宏。

    此致

    Sanath