Capítulo 5. Usando certificados de sistema compartilhado
O armazenamento de certificados de sistema compartilhado permite que NSS, GnuTLS, OpenSSL e Java compartilhem uma fonte padrão para a recuperação de âncoras de certificados de sistema e informações de listas de bloqueio. Por padrão, a loja de confiança contém a lista da Mozilla CA, incluindo confiança positiva e negativa. O sistema permite atualizar a lista principal da Mozilla CA ou escolher outra lista de certificados.
5.1. A loja de confiança em todo o sistema
No Red Hat Enterprise Linux, a loja de confiança consolidada em todo o sistema está localizada nos diretórios /etc/pki/ca-trust/ e /usr/share/pki/ca-trust-source/. As configurações de confiança em /usr/share/pki/ca-trust-source/ são processadas com prioridade menor do que as configurações em /etc/pki/ca-trust/.
Os arquivos de certificados são tratados de acordo com o subdiretório em que são instalados nos seguintes diretórios:
para âncoras de confiança
-
/usr/share/pki/ca-trust-source/anchors/ou -
/etc/pki/ca-trust/source/anchors/
-
para certificados duvidosos
-
/usr/share/pki/ca-trust-source/blacklist/ou -
/etc/pki/ca-trust/source/blacklist/
-
para certificados no formato de arquivo BEGIN TRUSTED estendido
-
/usr/share/pki/ca-trust-source/ou -
/etc/pki/ca-trust/source/
-
Em um sistema criptográfico hierárquico, uma âncora de confiança é uma entidade autorizada, que outras partes consideram ser confiável. Na arquitetura X.509, um certificado de raiz é uma âncora de confiança da qual se deriva uma cadeia de confiança. Para permitir a validação da cadeia, a parte confiante deve ter acesso primeiro à âncora de confiança.
