以下是我理解的各个证书的作用,麻烦看一下是否正确:
rootca.der:用来验证hpm包来源是否可信
signer.pem_enc、ts_signer.pem_enc、rootca.crl:用来给hpm原文签名以及验签
签名:出hpm包时,使用hpm_signer工具进行签名
hpm_signer -s signer.pem.enc -t ts_signer.pem.enc -T tsa.cnf -i name.filelist -o name.filelist.cms -p <签名证书加密密码>
升级时:
①验证hpm包来源:对比iBMC中的rootca.der与hpm包中的rootca.der是否匹配
②验签:验签时先检查iBMC内的rootca.crl和hpm包内的signer.pem.enc,判断signer.pem.enc是否失效(过期或者被吊销),如果失效,则检查签名中的时间戳,判断签名时刻signer.pem.enc是否有效,如果有效,才继续进行验签