# 生成 ECDSA 根密钥和证书 与 RSA 签名算法相比,ECDSA 具有卓越的安全性和性能。因此,Sectools 中的默认配置支持 ECDSA 签名。 使用 ECDSA 创建以下类型的密钥: - 每个人都可以访问的公钥。 - 只有密钥对的所有者知道的私钥 您可以修改并运行以下特定于 ECDSA 的命令来生成根密钥和证书: 1. 导航到 `OEM-KEYS` 目录并生成 ECDSA 根密钥和证书: cd ./OEM-KEYS openssl ecparam -genkey -name secp384r1 -outform PEM -out qpsa_rootca.key Copy to clipboard openssl req -new -key qpsa_rootca.key -sha384 -out rootca_pem.crt -subj '/C=US/CN=Generated OEM Root CA/OU=CDMA Technologies/OU=General Use OEM Key (OEM should update all fields)/L=San Diego/O=SecTools/ST=California' -config opensslroot.cfg -x509 -days 7300 -set_serial 1 Copy to clipboard openssl x509 -in rootca_pem.crt -inform PEM -out qpsa_rootca.cer -outform DER Copy to clipboard 2. 生成中间证书颁发机构 (CA) 密钥对和证书: openssl ecparam -genkey -name secp384r1 -outform PEM -out qpsa_attestca.key Copy to clipboard openssl req -new -key qpsa_attestca.key -out ca.CSR -subj '/C=US/ST=California/CN=Generated OEM Attestation CA/O=SecTools/L=San Diego' -config opensslroot.cfg -sha384 Copy to clipboard openssl x509 -req -in ca.CSR -CA rootca_pem.crt -CAkey qpsa_rootca.key -out ca_pem.crt -set_serial 1 -days 7300 -extfile v3.ext -sha384 -CAcreateserial Copy to clipboard openssl x509 -inform PEM -in ca_pem.crt -outform DER -out qpsa_attestca.cer Copy to clipboard ## 后续步骤 - 要允许客户端应用程序安全地进行身份验证并启用加密通信,请参阅[生成 RSA CA 密钥对和证书](https://docs.qualcomm.com/doc/80-70018-11SC/topic/generate-rsa-root-ca-key-pair-and-certificate.html#generate-rsa-root-ca-key-pair-and-certificate)。 - 为了增强安全性、确保数据完整性和支持安全数字签名,请参阅[为 RSA 和 ECDSA 生成 SHA-384 哈希](https://docs.qualcomm.com/doc/80-70018-11SC/topic/generate-sha-384-hash-for-rsa-and-ecdsa.html#generate-sha-384-hash-for-rsa-and-ecdsa)。 Last Published: Apr 29, 2025 [Previous Topic 生成本地(不安全)根密钥和证书](https://docs.qualcomm.com/bundle/publicresource/80-70018-11SC/topics/generate-local-insecure-root-key-and-certificates.md) [Next Topic 生成 RSA 客户端应用程序密钥对和证书](https://docs.qualcomm.com/bundle/publicresource/80-70018-11SC/topics/generate-rsa-root-ca-key-pair-and-certificate.md)