STM32H5 DA 证书链实操：多团队权限分级控制全流程

在 STM32H5 带 TrustZone（TZEN=0xB4）的开发场景中，多团队协作（安全开发、OEM 开发、现场支持）需要精细化权限控制 —— 既保障核心安全代码不被未授权访问，又要满足各团队的调试、回退需求。DA（Debug Authentication）证书链通过 “根证书→一级证书 / 中间证书→二级证书” 的分级机制，实现权限精准分配。本文基于 ST 官方 LAT1331 应用笔记，以 NUCLEO-H563ZI 开发板为例，详解证书链的组成、生成、验证全流程，助力多团队安全协作。

资料获取：【应用笔记】LAT1331 STM32H5 DA证书链之初体验

1. 核心背景与证书链价值

1.1 多团队权限痛点

• 安全开发团队：需完全访问权限（调试 Secure/NonSecure 代码、全回退 / 半回退）；
• OEM 开发团队：仅需 NonSecure 代码调试、全回退 / 半回退权限，禁止访问 Secure 代码；
• 现场支持团队：仅需全回退权限，用于排查硬件问题，无调试权限。

1.2 证书链核心价值

• 分级授权：通过多级证书实现权限层层递减，上级证书可派生下级证书；
• 安全可控：证书与密钥一一对应，丢失证书不影响上级权限，且支持密钥自定义生成；
• 兼容 DA 流程：与 STM32H5 的 DA 回退、调试认证机制深度适配，无需额外修改芯片配置。

2. 证书链组成与权限分级

关键逻辑

• 证书派生：根证书→一级证书 / 中间证书；中间证书→二级证书（一级证书不可派生二级证书）；
• 权限继承：下级证书权限≤上级证书权限，无法突破上级授权范围。

3. 完整实操流程（分团队落地）

前置准备

• 硬件：NUCLEO-H563ZI 开发板（TZEN=0xB4，TrustZone 开启）；
• 软件包：STM32Cube_FW_H5_V1.1.0（放置无中文 / 无空格路径，示例：C:workspace）；
• 工具：STM32CubeProgrammer v2.14.0、Trust Package Creator（TPC）、STM32CubeIDE v1.13.0、Tera Term；
• 前置操作：完成芯片 OBKey 预配置（参考《STM32H5 DA 之初体验 (带 TrustZone)》3.2+3.4 节）。

第一阶段：安全开发团队操作（核心权限配置）

1. 生成根密钥对与根证书

1. 打开 TPC 工具，左侧选择 “STM32H5”，切换至 “DA CertifGen” 选项卡；
2. 加载 XML 配置文件：C:workspaceSTM32Cube_FW_H5_V1.1.0ProjectsNUCLEO-H563ZIROT_ProvisioningDAConfigDA_Config.xml；
3. 点击 “Regenerate” 生成根密钥对（key_1_root.pem，路径：DA/Keys 目录）；
4. 配置证书参数：
   • 证书类型：ROOT；
   • 签发私钥：选择 key_1_root.pem；
   • 权限勾选：全回退、半回退、Secure 调试、NonSecure 调试；
5. 点击 “Generate Certificate”，生成根证书（cert_root.b64，路径：DA/Certificates 目录）；
6. 验证根证书：通过 STM32CubeProgrammer 的 DA 功能，使用根密钥 + 根证书完成全回退和 Secure 调试，确认权限生效。

2. 生成 OEM 团队密钥对（由 OEM 团队提供，安全团队复用）

1. 打开 TPC 工具，加载同一 XML 配置文件；
2. 加载 OEM 密钥文件：C:workspaceSTM32Cube_FW_H5_V1.1.0ProjectsNUCLEO-H563ZIROT_ProvisioningDAKeyskey_2_intermediate.pem；
3. 点击 “Regenerate” 生成 OEM 密钥对（key_2_intermediate.pem 公钥 / 私钥，路径：DA/Keys 目录）；
4. OEM 团队将公钥（key_2_intermediate_pub.pem）提供给安全开发团队。

3. 生成一级证书（授权 OEM 团队）

1. TPC 工具 “DA CertifGen” 选项卡配置：
   • 证书类型：LEAF；
   • 签发私钥：安全团队根密钥（key_1_root.pem）；
   • Leaf 公钥：OEM 团队公钥（key_2_intermediate_pub.pem）；
   • 权限勾选：全回退、半回退、NonSecure 调试（取消 Secure 调试）；
   • 链式输入：加载根证书（cert_root.b64）；
2. 输出证书：level1_cert_leaf_chain.b64（路径：DA/Certificates 目录），发送给 OEM 团队。

4. 生成中间证书（用于 OEM 派生二级证书）

1. TPC 工具 “DA CertifGen” 选项卡配置：
   • 证书类型：INTERMEDIATE；
   • 签发私钥：安全团队根密钥（key_1_root.pem）；
   • Intermediate 公钥：OEM 团队公钥（key_2_intermediate_pub.pem）；
   • 权限勾选：仅全回退（仅用于派生下级证书）；
   • 链式输入：加载根证书（cert_root.b64）；
2. 输出证书：level1_cert_intermediate_chain.b64（路径：DA/Certificates 目录），发送给 OEM 团队。

第二阶段：OEM 开发团队操作（业务权限使用与二次授权）

1. 验证一级证书有效性

1. 回退验证：打开 STM32CubeProgrammer，DA 标签页输入：
   • 私钥：OEM 团队私钥（key_2_intermediate.pem）；
   • 证书：一级证书（level1_cert_leaf_chain.b64）；
   • 选择 “Full Regression”，执行后回退成功，确认全回退权限；
2. 调试验证：
   • 烧录带 TrustZone 的 GPIO_IOToggle 例程（路径：Examples/GPIO/GPIO_IOToggle_TrustZone）；
   • 芯片状态切换至 TZ-Closed，STM32CubeIDE 调试配置：
     • Key 路径：OEM 私钥（key_2_intermediate.pem）；
     • Certificate 路径：一级证书（level1_cert_leaf_chain.b64）；
     • 权限：Debug Non Secure L1；
   • 启动调试，可暂停 NS 工程，确认 NonSecure 调试权限；
3. 半回退验证：重复 DA 操作，选择 “Partial Regression”，执行成功，确认半回退权限。

2. 生成现场支持团队密钥对（由现场团队提供）

3. 生成二级证书（授权现场支持团队）

1. TPC 工具 “DA CertifGen” 选项卡配置：
   • 证书类型：LEAF；
   • 签发私钥：OEM 团队私钥（key_2_intermediate.pem）；
   • Leaf 公钥：现场支持团队公钥（key_3_leaf_pub.pem）；
   • 权限勾选：仅全回退（继承中间证书权限）；
   • 链式输入：加载中间证书（level1_cert_intermediate_chain.b64）；
2. 输出证书：level2_cert_leaf_chain.b64（路径：DA/Certificates 目录），发送给现场支持团队。

第三阶段：现场技术支持团队操作（有限权限使用）

1. 全回退验证：
   • 芯片状态为 TZ-Closed，打开 STM32CubeProgrammer，DA 标签页输入：
     • 私钥：现场支持团队私钥（key_3_leaf.pem）；
     • 证书：二级证书（level2_cert_leaf_chain.b64）；
   • 选择 “Full Regression”，执行后回退成功，芯片恢复为 Open 状态，可排查硬件问题；
2. 权限限制：二级证书仅支持全回退，无任何调试权限，无法访问 Secure/NonSecure 代码。

4. 关键注意事项

1. 中间证书不可直接使用：仅用于派生二级证书，直接用于 DA 回退会失败；
2. 一级证书无法派生二级证书：TPC 工具禁止用一级证书签发二级证书，仅中间证书可派生；
3. 密钥安全管理：所有密钥对（根密钥、OEM 密钥、现场密钥）需单独保存，丢失将导致对应证书失效；
4. 证书链式依赖：下级证书必须加载上级证书完成链式验证，否则 DA 认证失败；
5. 工具版本兼容：使用 STM32CubeProgrammer v2.14.0、TPC v2.14.0，避免版本不兼容导致证书生成失败。