设置用户根证书信息

Device启动时会优先使用内置的证书校验文件系统，然后再使用用户证书进行校验。

若用户未对Device侧文件系统进行任何修改（即未执行修改文件系统的任何操作），此种情况下使用内置证书会校验通过，则不会再使用用户证书进行校验。
若Device侧文件系统有修改，则需要用户按照以下步骤上传用户根证书文件及CRL文件到Host指定目录/usr/local/Ascend/CMS，Device启动时需要使用用户证书对文件系统进行校验。

需要注意，一个芯片只需设置一次用户根证书信息(“user.xer”和“user.crl”)，若扩容芯片，需重新设置用户根证书信息。若芯片未变更，在用户根证书有效期内，用户可以一直使用已设置的根证书信息，实现安全启动功能。

执行以下命令切换到root用户，后续操作都需要以root用户执行。
su - root
获取用户根证书文件与用户CRL文件。参考创建并激活根证书生成的用户根证书文件user.xer和证书吊销列表文件user.crl。
将用户根证书文件与用户CRL文件上传到Host侧指定目录。在Host侧驱动软件包（{soc version}-driver-{software version}-{os.arch}.run）的安装目录下创建CMS文件夹，执行如下命令在驱动默认安装路径“/usr/local/Ascend”创建CMS文件夹。
mkdir /usr/local/Ascend/CMS
将根证书文件“user.xer”与证书吊销列表文件“user.crl”上传到上述步骤创建的CMS目录中，例如“ /usr/local/Ascend/CMS”。
在Host侧使用upgrade-tool工具设置用户根证书信息。
- /usr/local/Ascend为Host侧驱动软件包的默认安装路径，若指定了安装路径，请根据实际情况替换。
- upgrade-tool工具的详细参数说明请参见《 Atlas 中心推理卡 npu-smi 命令参考》。
- --device_index为设备编号，取值为“-1”时，指对当前host侧环境下所有的芯片进行烧录，若扩容芯片，需重新执行该步骤进行烧录。
/usr/local/Ascend/driver/tools/upgrade-tool --device_index -1 --user_cert --path /usr/local/Ascend/CMS/user.xer

父主题： 压缩文件系统