TA证书导入

华为为TA（Trusted Application）开发者签发TA证书（请参见TA证书管理）。当TEE被部署到ISV或者客户的隐私计算平台中时，TA的部署可能是动态的，甚至有动态编译TA的场景，现有的离线TA开发者证书签发流程不能满足要求，因此支持客户在他们的平台上导入自有的TA根或二级证书的功能，支撑平台方部署自有的PKI系统，动态对TA进行签名。

华为提供工具来支撑ISV或者客户平台管理员实施将自有证书导入到鲲鹏TEE内。

1. 根据需要，计算平台部署自己的CA系统，该CA系统将用于对平台使用的自有TA颁发证书。
2. TA的构建和打包过程与TA证书管理的并无差异，因为不再需要向华为申请TA身份证书，这个过程可以定制得更加灵活，TA证书的申请以及TA二进制的构建可以自动化完成（但请注意保证涉及的私钥的安全）。
3. 鲲鹏BoostKit机密计算提供证书导入工具，该工具以源码的方式提供。ISV平台需要根据其使用说明，将TA根证书预置之后，生成一个新的ISV专用的证书工具TA。
4. 该TA需要获得原始根证书（即华为的签名），并且需要由ISV妥善保管。ISV TA二级证书导入后，TEE OS将使用此证书校验TA。
5. 自TEE OS 1.3.0版本开始，支持TA开发者证书吊销列表导入，包括由华为签发或客户自有PKI系统签发的证书吊销列表。
   

   • 此功能需要使用高权限工具完成证书的部署，请使用者妥善保管，建议ISV或者客户的内部受控使用。
   • 为获得该工具的权限，需要确认相关免责协议。