Linux镜像包

操作说明

制作Linux镜像时，可对下载的包进行完整性校验，判断在下载过程中是否存在篡改和丢包现象。

数字签名CMS文件验签

在Linux镜像制作章节的准备软件-UOS、准备软件-Kylin，下载所需的包到本地。
从华为support官网https://support.huawei.com/additionalres/pki 下载根CA证书和4个吊销证书。
- CA文件：Huawei Software Integrity Protection Root CA.der
- CRL文件：HuaweiRootCA.crl、HuaweiCodeSigningCA.crl、HuaweiCodeSigningCA 2.crl、HuaweiCodeSigningCA 3.crl

转换CA证书与CRL文件格式从DER到PEM。

转换的证书名称可能与实际下载的证书名称不一致，以实际证书名称为准。

CRL文件：

openssl crl -inform DER -in "HuaweiRootCA.crl" -out HuaweiRootCaCrl.pem 
openssl crl -inform DER -in "HuaweiCodeSigningCA 3.crl" -out HuaweiCodeSigningCA3.pem 
openssl crl -inform DER -in "HuaweiCodeSigningCA 2.crl" -out HuaweiCodeSigningCA2.pem 
openssl crl -inform DER -in HuaweiCodeSigningCA.crl -out HuaweiCodeSigningCA.pem

CA文件：

openssl x509 -inform DER -in "Huawei Software Integrity Protection Root CA.der" -out HuaweiRootCA.pem

使用记事本打开3中的文件，将HuaweiRootCaCrl.pem、HuaweiCodeSigningCA3.pem、HuaweiCodeSigningCA2.pem和HuaweiCodeSigningCA.pem 4个文件内容依次粘贴到HuaweiRootCA.pem文件内容后面。

CMS验证。

openssl cms -verify -inform DER -crl_check_all -in xxxxxxx.zip.cms -content xxxxxx.zip -CAfile HuaweiRootCA.pem -out cmsVerifiedData -binary -purpose any -certsout tmpCertChain.pem

xxxxxxx.zip.cms：为表1中获取的客户端cms文件。
xxxxxx.zip：为在镜像制作章节获取的安装包名。

命令执行结果示例，如下所示表示验签成功：

CMS Verification successful

表1 CMS校验码
操作系统	安装包	cms签名文件
UOS	HDPSysAgentPackage_Linux_Server_Release.zip	X86：点此下载 ARM：点此下载
UOS	Workspace_HDP_LinuxDesktop_xx.x.x.iso	点此下载
Kylin	HDPSysAgentPackage_Linux_Server_Release.zip	X86：点此下载 ARM：点此下载
Kylin	Workspace_HDP_LinuxDesktop_xx.x.x.iso	点此下载

父主题： 制作镜像的包

上一篇：Windows镜像包

下一篇：销售场景限制说明

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨

盘古Doer提问云社区提问

Linux镜像包

操作说明

数字签名CMS文件验签

相关文档

意见反馈

文档内容是否对您有帮助？