Die Zertifikate liegen nicht in den FRITZ!OS-Partitionen ... diese Daten gelten jeweils - genauso wie die eigenen Einstellungen - für beide Systeme. Sonst hätten ja die Systeme nach einem manuellen Wechsel der Partition über "linux_fs_start" unterschiedliche Einstellungen - auch was die DOCSIS-Parameter angeht. Es werden ja auch aktuelle DOCSIS-Einstellungen so gespeichert, daß nachfolgende Starts nicht erst wieder den gesamten Bereich nach den DS- und US-Channels durchsuchen müssen.
Damit werden die bei einem Update auch nicht in die andere Partition kopiert - es gibt sie nur einmal. Wenn es zwei TFFS-Partitionen gibt, hat das auch nichts damit zu tun, daß es zwei Systeme gibt. Auch die 7390 (nur einen Satz Partitionen im NOR-Flash) verwendet zwei Partitionen für das TFFS.
Eine Box mit den neuen Zertifikaten ab Werk überschreibt beim Start ggf. vorher irgendwie ersetzte Zertifikate ohnehin wieder mit denen aus der Finalisierung - das dafür verwendete Script (/bin/docsiscertdefaults) gibt es ebenfalls seit 06.26. Egal was so eine Box beim Update also auch macht ... selbst wenn sie ein weiteres neues Zertifikat erhalten
sollte vom AVM-Service, fliegt das beim Restart wieder weg - da wird auch nicht geguckt, wer neuer ist oder so.
Damit spielt es auch keine Rolle, ob die beim Update hängt oder nicht ... das Zertifikat landet nicht in der FRITZ!OS-Partition, deren Inhalt ist nach dem "dd" fix und wird nicht mehr geändert (es gibt in der originalen Firmware kein ARM- oder ATOM-basiertes "mksquashfs" für BE - und wie ich gerade gesehen habe, bei @fesc auch nicht).
Das bräuchte es aber, um eine Firmware auf der Box zu ändern ... ungefähr so, wie "modfs" es auch macht. Zwar könnte man das ATOM-System mit "Standardtools" neu packen (das verwendet LE mit XZ-Kompression, wobei ich auch mal versehentlich GZIP nahm und das geht ebenfalls), aber das gilt nicht für das ARM-System und dort läuft die gesamte Update-Geschichte ab.
Wenn eine Box also (mit Firmware ab 06.26, erst da ist wie gesagt die /bin/docsiscertdefaults drin) Zertifikate ab Werk hat, wird sie die auch benutzen. Wenn bei AVM noch bis zur 06.50 das automatische Generieren in der Firmware ist, dann wohl nur, weil man keine Unterscheidung zwischen Boxen ohne und welchen mit Zertifikat ab Werk machen wollte und lieber Vorkehrungen getroffen hat, daß beide "Modelle" mit derselben Firmware funktionieren.
Noch einmal ... ab 06.6x stört dann auch kein Werksreset und kein Recovery mehr bei alten Boxen - deren aktualisierte Zertifikate bleiben erhalten (bis zum Fehler im Flash, dann ist die Box ohnehin ein Support-Fall). Die sind dann auch genau 1x vorhanden (halt nicht bei der "personality" der Box) und werden nicht irgendwohin kopiert.
- - - Aktualisiert - - -
Diese Menüpunkte gibt es bei den Provider Boxen anscheinend nicht (jedenfalls nicht bei meiner), auch nicht in der erweiterten Ansicht
Die Einstellung für den SNMP-Zugriff durch den Provider gibt es außerhalb der Retail-Modelle m.W. (bisher) gar nicht - steht als "enable_snmp_on_wan" in der ar7.cfg und fehlt in der "providerservices.lua" bis einschließlich 06.50.
Wie es mit der TR-069-Einstellung auf derselben GUI-Seite aussieht und der dazugehörigen ar7.cfg-Einstellung "enable_tr069_on_wan", müßte man mal testen - es gibt ja noch die tr069.cfg und damit zwei Stellen zum Ein-/Ausschalten. Eingeschaltetes TR-069 läßt sich ja in den Support-Daten verifizieren - ob es in der "Sicherheit"-Seite des GUI bei einer Provider-Box überhaupt angezeigt wird, wäre mal interessant. Könnte man aber auch im Lua-Quelltext nachlesen ... geht aber wohl schneller, wenn es jemand mit einer 06.50 in einer Provider-Box mal aufruft.
Ich vermute mal, AVM wird bei der Provider-Firmware diese Einstellungen auch in Zukunft nicht wirklich einbauen ... wenn man das über die ar7.cfg ändern kann und das wird berücksichtigt, hängt man den Provider-Zugriff (zumindest wohl hinter dem CM) ab und dann kann der die ganzen eSAFEs gar nicht mehr richtig steuern.
Das wäre (ein paar Unbelehrbare gibt es bekanntlich immer) für den Provider sicherlich recht ärgerlich - und wenn der keine AVM-FRITZ!Boxen mehr selbst anbieten sollte, muß sich entweder der neue Kunde immer eine kaufen/mieten (mit entsprechend wegfallenden Vertragsoptionen, was auch nicht so prickelnd ist) oder AVM verliert Umsätze mit Provider-Boxen. Da ist sicherlich ein zusätzlicher Zweig der Firmware (es soll ja so etwas wie bedingte Übersetzung geben) das kleinere Übel.
- - - Aktualisiert - - -
Ich habe die angesprochene Änderung gegen zweimaliges Update mit demselben Image eingecheckt (untested, sollte mich aber nicht verschrieben haben).
Nach dem Aufruf von /var/install wird (nun doch unabhängig vom Resultat von /var/install) die aktuelle Uhrzeit als Timestamp ermittelt und die Image-Datei so umbenannt, daß die Zeichenkette ".$time.bak" angehangen wird. Damit sollte sich beim Auflisten mehrerer solcher Images auf dem NAS eine passende Sortierung ergeben, sofern die Box beim Update eine aktuelle Uhrzeit hatte. Wenn nicht, ist das irgendeine Unix-Time ab 0 beim Start des Systems - damit es dort keine Konflikte gibt, wird die aktuelle Unix-Time so lange um 1 erhöht, bis ein Dateiname entstanden ist, der noch nicht existiert. Dabei ist dann ggf. natürlich die Reihenfolge nicht garantiert bei einer Liste.