背景
安全组件需支持在线调试自定义命令,debug包新增查询安全启动相关信息调试命令
社区和伙伴独立开发场景下,客户系统不再为华为签名,提供调试命令,查看客户设备的伙伴签名hash是否符合预期
决策点
新增path: /bmc/kepler/Debug/Managers/:ManageId/SecureBoot
新增interface: bmc.kepler.Debug.Managers.SecureBoot
新增method: GetSecureBootConfiguration
详细描述
path: /bmc/kepler/Debug/Managers/:ManageId/SecureBoot
interface: bmc.kepler.Debug.Managers.SecureBoot
变化类型:新增path、interface、方法
应用场景:开发/维护人员在线通过调测命令查询安全启动相关信息,包括是否已经导入可信根,可信根是否符合预期
持久化类型:不持久化
操作权限:SecurityMgmt
| 属性名称 | 变化类型 | 签名 | 读写&权限 | 持久化 | 变化通知 | 接口说明 | 接口约束 | 描述displayDescription | cmdName |
|---|---|---|---|---|---|---|---|---|---|
| GetSecureBootConfiguration | 新增方法 | 请求:is 响应:s |
SecurityMgmt | 不涉及 | 不涉及 | 查询安全启动相关信息 | 请求参数: Subcmd(0代表查询BMC根文件系统签名CA的摘要值), Args(当Subcmd为0时,取值为’pss’或者’pkcs’,表示CA证书的填充格式) 响应参数: Configuration(为字符串,字符串中为k:v格式的json数组) |
方法描述:Get Secure Boot Configuration | getsecureboot |
样例
Usage: getsecureboot <Subcmd> <Args>
Get Secure Boot Configuration.
Subcmd i 查询的内容类型。
当前仅支持0,表示查询BMC根文件系统签名CA的摘要值
Args s Subcmd的执行参数。
当Subcmd取值0时,该字段仅支持取值‘pss’ 或者 ‘pkcs’。
返回样例
‘{“RootfsCADigest”:“0102030A0Bxxx”}’
评审结论
同意新增资源树协作接口及方法
新增path: /bmc/kepler/Debug/Managers/:ManageId/SecureBoot
新增interface: bmc.kepler.Debug.Managers.SecureBoot
新增method: GetSecureBootConfiguration,请求签名is,响应签名s,权限SecurityMgmt
新增调测命令: getsecureboot