OvmfPkg/README: add HTTPS Boot
authorGary Lin <glin@suse.com>
Tue, 24 Apr 2018 08:35:44 +0000 (16:35 +0800)
committerLaszlo Ersek <lersek@redhat.com>
Tue, 24 Apr 2018 10:32:18 +0000 (12:32 +0200)
Add the new section for HTTPS Boot.

Changes in v2:
  - Fixed the typos
  - Added the command for p11-kit based on Laszlo's suggestion
  - Also added the efisiglist command
  - Elaborated how to create the customized cipher suite list
  - Mentioned the changes in QEMU in the future based on Laszlo's
    suggestion

Cc: Ard Biesheuvel <ard.biesheuvel@linaro.org>
Cc: Jordan Justen <jordan.l.justen@intel.com>
Cc: Laszlo Ersek <lersek@redhat.com>
Contributed-under: TianoCore Contribution Agreement 1.1
Signed-off-by: Gary Lin <glin@suse.com>
Reviewed-by: Laszlo Ersek <lersek@redhat.com>
[lersek@redhat.com: trivial typo fixes; update-crypto-policies URL fix]

OvmfPkg/README

index 00fb718..7415419 100644 (file)
@@ -254,6 +254,94 @@ longer.)
     VirtioNetDxe         |                                        x\r
     Intel BootUtil (X64) |   x\r
 \r
+=== HTTPS Boot ===\r
+\r
+HTTPS Boot is an alternative solution to PXE. It replaces the tftp server\r
+with a HTTPS server so the firmware can download the images through a trusted\r
+and encrypted connection.\r
+\r
+* To enable HTTPS Boot, you have to build OVMF with -D HTTP_BOOT_ENABLE and\r
+  -D TLS_ENABLE. The former brings in the HTTP stack from NetworkPkg while\r
+  the latter enables TLS support in both NetworkPkg and CryptoPkg.\r
+\r
+* By default, there is no trusted certificate. The user has to import the\r
+  certificates either manually with "Tls Auth Configuration" utility in the\r
+  firmware UI or through the fw_cfg entry, etc/edk2/https/cacerts.\r
+\r
+  -fw_cfg name=etc/edk2/https/cacerts,file=<certdb>\r
+\r
+  The blob for etc/edk2/https/cacerts has to be in the format of Signature\r
+  Database(*1). You can use p11-kit(*2) or efisiglit(*3) to create the\r
+  certificate list.\r
+\r
+  If you want to create the certificate list based on the CA certificates\r
+  in your local host, p11-kit will be a good choice. Here is the command to\r
+  create the list:\r
+\r
+  p11-kit extract --format=edk2-cacerts --filter=ca-anchors \\r
+    --overwrite --purpose=server-auth <certdb>\r
+\r
+  If you only want to import one certificate, efisiglist is the tool for you:\r
+\r
+  efisiglist -a <cert file> -o <certdb>\r
+\r
+  Please note that the certificate has to be in the DER format.\r
+\r
+  You can also append a certificate to the existing list with the following\r
+  command:\r
+\r
+  efisiglist -i <old certdb> -a <cert file> -o <new certdb>\r
+\r
+  NOTE: You may need the patch to make efisiglist generate the correct header.\r
+  (https://github.com/rhboot/pesign/pull/40)\r
+\r
+* Besides the trusted certificates, it's also possible to configure the trusted\r
+  cipher suites for HTTPS through another fw_cfg entry: etc/edk2/https/ciphers.\r
+\r
+  -fw_cfg name=etc/edk2/https/ciphers,file=<cipher suites>\r
+\r
+  OVMF expects a binary UINT16 array which comprises the cipher suites HEX\r
+  IDs(*4). If the cipher suite list is given, OVMF will choose the cipher\r
+  suite from the intersection of the given list and the built-in cipher\r
+  suites. Otherwise, OVMF just chooses whatever proper cipher suites from the\r
+  built-in ones.\r
+\r
+  While the tool(*5) to create the cipher suite array is still under\r
+  development, the array can be generated with the following script:\r
+\r
+  export LC_ALL=C\r
+  openssl ciphers -V \\r
+  | sed -r -n \\r
+     -e 's/^ *0x([0-9A-F]{2}),0x([0-9A-F]{2}) - .*$/\\\\x\1 \\\\x\2/p' \\r
+  | xargs -r -- printf -- '%b' > ciphers.bin\r
+\r
+  This script creates ciphers.bin that contains all the cipher suite IDs\r
+  supported by openssl according to the local host configuration.\r
+\r
+  You may want to enable only a limited set of cipher suites. Then, you\r
+  should check the validity of your list first:\r
+\r
+  openssl ciphers -V <cipher list>\r
+\r
+  If all the cipher suites in your list map to the proper HEX IDs, go ahead\r
+  to modify the script and execute it:\r
+\r
+  export LC_ALL=C\r
+  openssl ciphers -V <cipher list> \\r
+  | sed -r -n \\r
+     -e 's/^ *0x([0-9A-F]{2}),0x([0-9A-F]{2}) - .*$/\\\\x\1 \\\\x\2/p' \\r
+  | xargs -r -- printf -- '%b' > ciphers.bin\r
+\r
+* In the future (after release 2.12), QEMU should populate both above fw_cfg\r
+  files automatically from the local host configuration, and enable the user\r
+  to override either with dedicated options or properties.\r
+\r
+(*1) See "31.4.1 Signature Database" in UEFI specification 2.7 errata A.\r
+(*2) p11-kit: https://github.com/p11-glue/p11-kit/\r
+(*3) efisiglist: https://github.com/rhboot/pesign/blob/master/src/efisiglist.c\r
+(*4) https://wiki.mozilla.org/Security/Server_Side_TLS#Cipher_names_correspondence_table\r
+(*5) update-crypto-policies: https://gitlab.com/redhat-crypto/fedora-crypto-policies\r
+\r
 === OVMF Flash Layout ===\r
 \r
 Like all current IA32/X64 system designs, OVMF's firmware device (rom/flash)\r