红帽全球峰会14.5. 将证书导入到 NSS 数据库中
在执行这些步骤时,请确保您的 web 服务离线(停止、禁用等),并确保其他进程(如浏览器)无法并发访问 NSS 数据库。这样做可能会破坏 NSS 数据库,或者不当使用这些证书。
请注意,您遵循的哪个指令集合将取决于问题中证书的使用。
-
对于任何子系统的
auditSigningCert,请按照以下步骤验证 对象签署证书。 -
对于 CA 子系统的
caSigningCert,请按照上述步骤导入和验证 中间证书链,但仅用 caSigningCert 执行。 -
对于 CA 子系统的
ocspSigningCert,请按照以下步骤验证 OCSP 证书。 - 对于用户的客户端或 S/MIME 证书,请遵循客户端证书 步骤。
有关以下使用的 certutil 和 PKICertImport 选项的详情,请参考 第 14.1 节 “关于 certutil 和 PKICertImport”。
将客户端证书导入到 NSS 数据库中
将客户端证书导入到 NSS 数据库中:
更改到 NSS 数据库目录。例如:
# cd /path/to/nssdb/
- 导入并信任 root 证书(如果尚未导入且可信)。详情请查看 第 14.2 节 “导入 root 证书”。
- 导入并验证中间证书(如果尚未导入和验证)。详情请查看 第 14.3 节 “导入中间证书链”。
验证并导入客户端证书:
# PKICertImport -d . -n "client name" -t ",," -a -i client.crt -u C
如果没有打印错误消息,且返回码为 0 时,验证会成功。要检查返回代码,请在执行上述命令后立即执行
echo $?。在大多数情况下,会输出视觉错误消息。如果验证没有成功,请联系签发者并确保系统中存在所有中间证书和 root 证书。
导入对象签名证书
导入对象签名证书:
更改到 NSS 数据库目录。例如:
# cd /path/to/nssdb/
- 导入并信任 root 证书(如果尚未导入且可信)。详情请查看 第 14.2 节 “导入 root 证书”。
- 导入并验证中间证书(如果尚未导入和验证)。详情请查看 第 14.3 节 “导入中间证书链”。
验证并导入对象签名证书:
# PKICertImport -d . -n "certificate name" -t ",,P" -a -i objectsigning.crt -u J
如果没有打印错误消息,且返回码为 0 时,验证会成功。要检查返回代码,请在执行上述命令后立即执行
echo $?。在大多数情况下,会输出视觉错误消息。如果验证没有成功,请联系签发者并确保系统中存在所有中间证书和 root 证书。
导入 OCSP 响应器
要导入 OCSP 响应程序:
更改到 NSS 数据库目录。例如:
# cd /path/to/nssdb/
- 导入并信任 root 证书(如果尚未导入且可信)。详情请查看 第 14.2 节 “导入 root 证书”。
- 导入并验证中间证书(如果尚未导入和验证)。详情请查看 第 14.3 节 “导入中间证书链”。
验证并导入 OCSP 响应程序证书:
# PKICertImport -d . -n "certificate name" -t ",," -a -i ocsp.crt -u O
如果没有打印错误消息,且返回码为 0 时,验证会成功。要检查返回代码,请在执行上述命令后立即执行
echo $?。在大多数情况下,会输出视觉错误消息。如果验证没有成功,请联系签发者并确保系统中存在所有中间证书和 root 证书。
