定制签名过期,该如何升级新签名固件

交流互助区
1

我们的签名最近过期了,需要更新新签名的固件,但是有些机器不方便上环境替换签名证书。

请问能否制作一个类似过渡包的固件,可以从老签名过渡到新签名。

2

答案内容由AI生成,仅供参考:

关于定制签名过期后升级新签名固件的解决方案

根据您提出的“签名证书过期,需从老签名过渡到新签名固件”的问题,结合现有知识库信息,以下是系统化的解答和建议:

1. 问题分析

您的场景属于典型的**签名证书轮换(Certificate Rotation)**需求。在 openUBMC 生态中,当伙伴自签名的 CA 证书过期后,使用旧证书签名的系统将无法验证由新证书签名的固件包,导致升级失败。

关键限制:

  • 系统内置的信任链基于当前证书。
  • 过期证书可能导致 Verify_Signature_Errorcode 88200004 错误(如 Document Chunk 2 和 3 中所示)。
  • 部分设备因维护成本高或环境受限,难以现场手动更换信任证书。

2. 解决方案:使用“签名过渡包”实现平滑迁移

答案是::white_check_mark: 可以制作一个类似“过渡包”的固件,实现从老签名到新签名的平滑过渡。

这种方案在 OpenUBMC 社区中已有实践,称为 Signature Transition Package(签名过渡包),其作用正是为了支持从一种签名体系(如华为签名或旧伙伴签名)迁移到另一种签名体系(如新的伙伴签名)。

过渡包的工作原理

  1. 过渡包本身由旧签名签发,系统可正常识别并升级。
  2. 在升级过程中,过渡包会:
    • 替换系统内的信任根证书(Root CA);
    • 安装新的公钥证书和 CRL(吊销列表);
    • 为后续使用新签名的固件包建立信任基础。
  3. 成功升级过渡包后,系统即信任新签名,后续可正常升级由新证书签名的正式固件包。

:magnifying_glass_tilted_left: 参考来源
Document Chunk 5 显示,Lifei 描述了通过过渡包完成从华为签名到伙伴签名的迁移过程。
Knowledge Graph 中的实体 Signature Transition Package 被定义为“用于固件更新的定制软件工件”,依赖于项目特定支持。

3. 实施步骤(推荐流程)

以下是基于社区实践总结的操作流程:

步骤 1:准备新旧签名材料

  • 保留旧签名证书(rootca.der、rootca.crl 等)用于构建过渡包;
  • 准备新签名证书材料(新的 rootca.der、signer.pem 等);
  • 确保新证书已在构建环境中配置。

步骤 2:构建“签名过渡包”

  • 使用 旧签名证书 编译生成过渡包;
  • 在构建过程中,将 新签名的 rootca.der 嵌入到固件中,替换原有信任根;
  • 修改 manifest.yml 或相关配置文件(如 signature 字段),指定新证书路径;
    signature:
  certificates:
    rootca_der: ${product}/new_ca/rootca.der  # 新证书
    rootca_crl: ${product}/new_ca/rootca.crl

:white_check_mark: 提示:过渡包必须能通过旧签名验证,才能被系统接受。

步骤 3:测试并部署过渡包

  1. 在测试环境中验证:
    • 能否成功升级过渡包;
    • 升级后系统是否信任新签名;
    • 是否可通过 Web UI 正常升级新签名的正式包。
  2. 记录日志,关注以下关键字:
    • verify signature successfully
    • load custom certificate
    • Update task[State: Completed]

步骤 4:批量升级目标设备

  • 对不方便上环境的设备,可通过远程管理接口上传并升级过渡包;
  • 升级完成后自动重启,后续支持新签名固件升级。

4. 注意事项与常见问题

问题 原因 解决方案
升级过渡包时报错 code 88200004add pss root certificate failed 根证书格式不匹配或解析失败 检查证书格式(DER)、算法(PSS/PKCS)一致性,参考 [Document Chunk 3]
正式包升级失败 过渡包未完全替换信任链 确保 hpm 包中包含正确的 CMS_SIGN 和 filelist.cms
Get product obj failed! 日志 VPD 或数字版权对象缺失 清理或重刷 VPD 信息(需 PAE 支持)

:hammer_and_wrench: 调试建议
查看 /var/log/app.logfirmware_mgmt 模块日志,重点关注 validate_sign.lua 的执行流程。

5. 社区实践参考

  • Topic_2831(KG 实体)讨论了签名验证失败问题,并指出需确保 CRL 文件有效;
  • 用户 Shenwei(百信) 参与过固件升级互操作性测试;
  • 昆仑太科_郭馨 建议在从华为 V3 升级时需先“清根”,再升级过渡包;
  • 实体 Openubmc Firmware 明确指出:使用 openUBMC 固件需获得定制的签名过渡包,且非标准化,需项目级支持。

结论

可以制作“签名过渡包”实现从过期签名到新签名的无缝升级。该方案已在 openUBMC 生态中有实际应用案例。

:wrench: 操作建议

联系您的项目支持团队或 PAE 工程师,获取构建签名过渡包的技术支持,确保新旧证书平滑切换。

该方法特别适用于无法现场更换证书的设备,是一种安全、可靠、符合规范的签名轮换机制。

相关链接:

  1. hpm签名包升级失败
  2. 能否实现伙伴签名的openUBMC版本直接升级华为签名的各种固件?
  3. 升级完过渡包后,正式包升级失败
  4. 25.09版本真机升级失败求助
  5. 升级常见问题指南 | 文档中心 | openUBMC
3

请联系对应项目支持