第4章 共通システム証明書の使用
共有システム証明書ストレージは、NSS、GnuTLS、OpenSSL、および Java が、システムの証明書アンカーと、拒否リスト情報を取得するデフォルトソースを共有します。トラストストアには、デフォルトで、Mozilla CA リスト (信頼できるリストおよび信頼できないリスト) が含まれています。システムでは、コア Mozilla CA リストを更新したり、別の証明書リストを選択したりできます。
4.1. システム全体のトラストストア
RHEL では、統合されたシステム全体のトラストストアが /etc/pki/ca-trust/ ディレクトリーおよび /usr/share/pki/ca-trust-source/ ディレクトリーに置かれています。/usr/share/pki/ca-trust-source/ のトラスト設定は、/etc/pki/ca-trust/ の設定よりも低い優先順位で処理されます。
証明書ファイルは、インストールされているサブディレクトリーによって扱われ方が異なります。
トラストアンカーの所属先
-
/usr/share/pki/ca-trust-source/anchors/または -
/etc/pki/ca-trust/source/anchors/
-
信頼されていない証明書の保存先
-
/usr/share/pki/ca-trust-source/blocklist/または -
/etc/pki/ca-trust/source/blocklist/
-
拡張 BEGIN TRUSTED ファイル形式の証明書の配置先
-
/usr/share/pki/ca-trust-source/または -
/etc/pki/ca-trust/source/
-
注記
階層暗号化システムでは、トラストアンカーとは、他のパーティーが信頼できると想定する権威あるエンティティーです。X.509 アーキテクチャーでは、ルート証明書はトラストチェーンの元となるトラストアンカーです。チェーンの検証を有効にするには、信頼元がまずトラストアンカーにアクセスできる必要があります。
関連情報
-
update-ca-trust(8)およびtrust(1)の man ページ
