一、前提条件
-
硬件与固件支持 :需要支持
partner_signature.ini才能导入伙伴根,bm320型号支持此功能;同时设备efuse需支持伙伴模式(伙伴模式efuse标识为:db 07 00 01)。 -
环境准备 :确保设备网络连通性正常,可通过IPMI工具与BMC进行通信;提前准备好伙伴根证书文件(如
1.bin, 由伙伴提供根公钥给华为制作生成伙伴可信根),并放置在指定路径(如/tmp/)。- U-Boot包准备 :需准备未签名的U-Boot包(如
Hi1711_20250618_d82f65aeb6e0446405a81989215ffcb3c730de8e.tar.gz),使用伙伴签名系统签名uboot集成到HPM中
- U-Boot包准备 :需准备未签名的U-Boot包(如
二、操作步骤
(一)环境检查
- 查看efuse模式 :执行以下命令确认当前efuse是否支持伙伴模式:
若返回结果包含server= username= password= ipmitool -H ${server} -I lanplus -p 623 -U${username} -P ${password} -C 17 raw 0x30 0x93 0xdb 0x07 0x00 0x5b 0x2b 0x00db 07 00 01,则说明efuse支持伙伴模式。
(二)导入伙伴根
-
导入根证书hash :将根证书文件(如
/tmp/1.bin)导入设备,执行命令:ipmitool -H ${server} -I lanplus -p 623 -U${username} -P ${password} -C 17 raw 0x30 0x93 0xdb 0x07 0x00 0x57 0x00 0x02 0x03 0x00 0x00 0x0a 0x2f 0x74 0x6D 0x70 0x2f 0x31 0x2e 0x62 0x69 0x6e注意:需根据实际文件路径修改命令中的
0x2f 0x74 0x6D 0x70 0x2f 0x31 0x2e 0x62 0x69 0x6e部分(对应ASCII码/tmp/1.bin)。 -
使能伙伴根 :导入完成后,执行以下命令使能伙伴根:
ipmitool -H ${server} -I lanplus -p 623 -U${username} -P ${password} -C 17 raw 0x30 0x93 0xdb 0x07 0x00 0x5a 0x2e 0x00执行此命令后,设备将自动AC重启,OS和BMC都会受影响。
(三)结果验证
-
查询伙伴根状态 :可通过以下命令查询伙伴根导入结果:
- PKCS格式查询 :
若存在根, 则输出非零hash.busctl --user call bmc.kepler.soctrl /bmc/kepler/Managers/1/SOC/SecureCore bmc.kepler.Managers.SOC.SecureCore.SecureBoot ExportCustomCertificateHash a{ss}i 3 Interface Busctl UserName Administrator ClientAddr 127.0.0.1 0 busctl --user call bmc.kepler.soctrl /bmc/kepler/Managers/1/SOC/SecureCore bmc.kepler.Managers.SOC.SecureCore.SecureBoot ExportCustomCertificateHash a{ss}i 0 0 - PSS格式查询 :
若存在根, 则输出非零hash.busctl --user call bmc.kepler.soctrl /bmc/kepler/Managers/1/SOC/SecureCore bmc.kepler.Managers.SOC.SecureCore.SecureBoot ExportCustomCertificateHash a{ss}i 0 1
- PKCS格式查询 :
-
操作日志
-
如果导入异常, 可以通过一键收集的
m3.log确认
三、生产装备加载流程
对于生产场景,需要在装备包加载后导入伙伴根;
四、注意事项
- 版本兼容性 :
- 若设备已存在华为的可信根,升级伙伴可信根后会自动回滚,版本检查会失败;
- 签名校验 :
- U-Boot签名要求 :导入伙伴根后, 必须使用伙伴签名服务对U-Boot进行签名 。未签名或未使用伙伴签名的U-Boot包在升级后,重启时会因签名校验失败而无法生效,系统会自动回滚。
- bingo版本要求 :需使用伙伴版本bingo工具重新打包。
- BIOS签名校验 :当前导入的可信根不校验BIOS签名(m3校验BIOS签名已被屏蔽)。
- 操作不可逆 :伙伴根导入efuse后,会跟随BMC插卡绑定,无法被伙伴自行清除。