# 生成 ECDSA 根密钥和证书

Source: [https://docs.qualcomm.com/doc/80-70015-11SC/topic/generate-ecdsa-root-key-and-certificate.html](https://docs.qualcomm.com/doc/80-70015-11SC/topic/generate-ecdsa-root-key-and-certificate.html)

与 RSA 签名算法相比，ECDSA 具有卓越的安全性和性能。因此，Sectools 中的默认配置支持 ECDSA 签名。

使用 ECDSA，可以创建两种类型的密钥： 
- 公钥，每个人都可以访问。
- 私钥，只有密钥对的所有者知道。

Note: 为避免将任何特殊字符与命令一起复制，建议在执行命令之前，在命令提示符或记事本上手动键入命令。

您可以修改并运行以下特定于 ECDSA 的命令来生成根密钥和证书：

1. 进入 `OEM-KEYS` 目录并生成 ECDSA 根密钥和证书： 

        cd ./OEM-KEYS
        
        openssl ecparam -genkey -name secp384r1 -outform PEM -out qpsa_rootca.keyCopy to clipboard

        openssl req -new -key qpsa_rootca.key -sha384 -out rootca_pem.crt -subj '/C=US/CN=Generated OEM Root CA/OU=CDMA Technologies/OU=General Use OEM Key (OEM should update all fields)/L=San Diego/O=SecTools/ST=California' -config opensslroot.cfg -x509 -days 7300 -set_serial 1Copy to clipboard

        openssl x509 -in rootca_pem.crt -inform PEM -out qpsa_rootca.cer -outform DERCopy to clipboard
2. 生成中间证书颁发机构 (CA) 密钥对和证书：

        openssl ecparam -genkey -name secp384r1 -outform PEM -qpsa_attestca.keyCopy to clipboard

        openssl req -new -key qpsa_attestca.key -out ca.CSR -subj '/C=US/ST=California/CN=Generated OEM Attestation CA/O=SecTools/L=San Diego' -config opensslroot.cfg -sha384Copy to clipboard

        openssl x509 -req -in ca.CSR -CA rootca_pem.crt -CAkey qpsa_rootca.key - out ca_pem.crt -set_serial 1 -days 7300 -extfile v3.ext -sha384 -CAcreateserialCopy to clipboard

        openssl x509 -inform PEM -in ca_pem.crt -outform DER -out qpsa_attestca.cerCopy to clipboard

**Parent Topic:** [启用安全启动](https://docs.qualcomm.com/doc/80-70015-11SC/topic/enable-secure-boot.html)

Last Published: Dec 03, 2024

[Previous Topic
生成本地（不安全）根密钥和证书](https://docs.qualcomm.com/bundle/publicresource/80-70015-11SC/topics/generate-local-insecure-root-key-and-certificates.md) [Next Topic
生成 RSA CA 密钥对和证书](https://docs.qualcomm.com/bundle/publicresource/80-70015-11SC/topics/generate-rsa-root-ca-key-pair-and-certificate.md)