Chapitre 4. Utilisation de certificats système partagés
Le stockage partagé des certificats système permet à NSS, GnuTLS, OpenSSL et Java de partager une source par défaut pour récupérer les ancres des certificats système et les informations de la liste de blocage. Par défaut, le magasin de confiance contient la liste des autorités de certification de Mozilla, y compris la confiance positive et négative. Le système permet de mettre à jour la liste principale des autorités de certification de Mozilla ou de choisir une autre liste de certificats.
4.1. La base de données de confiance à l'échelle du système
Dans RHEL, le magasin de confiance consolidé à l'échelle du système est situé dans les répertoires /etc/pki/ca-trust/ et /usr/share/pki/ca-trust-source/. Les paramètres de confiance contenus dans /usr/share/pki/ca-trust-source/ sont traités avec une priorité inférieure à celle des paramètres contenus dans /etc/pki/ca-trust/.
Les fichiers de certificats sont traités en fonction du sous-répertoire dans lequel ils sont installés :
Les ancres de confiance appartiennent à
-
/usr/share/pki/ca-trust-source/anchors/ou -
/etc/pki/ca-trust/source/anchors/.
-
Les certificats douteux sont stockés dans le dossier
-
/usr/share/pki/ca-trust-source/blocklist/ou -
/etc/pki/ca-trust/source/blocklist/.
-
Les certificats dans le format de fichier BEGIN TRUSTED étendu se trouvent dans le dossier
-
/usr/share/pki/ca-trust-source/ou -
/etc/pki/ca-trust/source/.
-
Dans un système cryptographique hiérarchique, un point d'ancrage de confiance est une entité faisant autorité que d'autres parties considèrent comme digne de confiance. Dans l'architecture X.509, un certificat racine est une ancre de confiance à partir de laquelle une chaîne de confiance est dérivée. Pour permettre la validation de la chaîne, la partie qui fait confiance doit d'abord avoir accès à l'ancre de confiance.
Ressources supplémentaires
-
update-ca-trust(8)ettrust(1)pages de manuel
