Capítulo 5. Uso de certificados de sistema compartidos
El almacenamiento compartido de certificados del sistema permite a NSS, GnuTLS, OpenSSL y Java compartir una fuente por defecto para recuperar anclas de certificados del sistema e información de la lista de bloques. Por defecto, el almacén de confianza contiene la lista de CA de Mozilla, incluyendo la confianza positiva y negativa. El sistema permite actualizar la lista de CA de Mozilla principal o elegir otra lista de certificados.
5.1. El almacén de confianza de todo el sistema
En Red Hat Enterprise Linux, el almacén de confianza consolidado de todo el sistema se encuentra en los directorios /etc/pki/ca-trust/
y /usr/share/pki/ca-trust-source/
. Las configuraciones de confianza en /usr/share/pki/ca-trust-source/
son procesadas con menor prioridad que las configuraciones en /etc/pki/ca-trust/
.
Los archivos de certificados se tratan en función del subdirectorio en el que se instalan en los siguientes directorios:
para los anclajes de confianza
-
/usr/share/pki/ca-trust-source/anchors/
o -
/etc/pki/ca-trust/source/anchors/
-
para los certificados de desconfianza
-
/usr/share/pki/ca-trust-source/blacklist/
o -
/etc/pki/ca-trust/source/blacklist/
-
para certificados en el formato de archivo BEGIN TRUSTED ampliado
-
/usr/share/pki/ca-trust-source/
o -
/etc/pki/ca-trust/source/
-
En un sistema criptográfico jerárquico, un ancla de confianza es una entidad autorizada que otras partes consideran digna de confianza. En la arquitectura X.509, un certificado raíz es un ancla de confianza de la que se deriva una cadena de confianza. Para permitir la validación de la cadena, la parte que confía debe tener acceso primero al ancla de confianza.