红帽全球峰会15.5. 将证书导入到 NSS 数据库中
在执行这些步骤时,请确保您的 web 服务离线(停止、禁用等),并确保其他进程(如浏览器)无法并发访问 NSS 数据库。这样做可能会破坏 NSS 数据库,或者不当使用这些证书。
请注意,您遵循的哪个指令集合将取决于问题中证书的使用。
- 对于任何子系统的 auditSigningCert,请按照以下步骤操作来验证 对象签名证书。
- 对于 CA 子系统的 caSigningCert,请按照上述步骤导入和验证 中间证书链,但仅在 caSigningCert 中这样做。
- 对于 CA 子系统的 ocspSigningCert,请按照以下步骤操作来验证 OCSP 证书。
- 对于用户的客户端或 S/MIME 证书,请按照客户端证书 步骤。
将客户端证书导入到 NSS 数据库
将客户端证书导入到 NSS 数据库中:
- 更改到 NSS 数据库目录。例如:
# cd /path/to/nssdb/
- 导入并信任 root 证书(如果尚未导入且可信)。详情请查看 第 15.2 节 “导入根证书”。
- 导入并验证中间证书(如果尚未导入和验证)。详情请查看 第 15.3 节 “导入中间证书链”。
- 验证并导入客户端证书:
#PKICertImport -d . -n "client name" -t ",," -a -i client.crt -u C如果没有打印错误消息,且返回码为 0 时,验证会成功。要检查返回代码,请在执行上述命令后立即执行 echo $?。在大多数情况下,会输出视觉错误消息。如果验证没有成功,请联系签发者并确保系统中存在所有中间证书和 root 证书。
导入对象签名证书
导入对象签名证书:
- 更改到 NSS 数据库目录。例如:
# cd /path/to/nssdb/
- 导入并信任 root 证书(如果尚未导入且可信)。详情请查看 第 15.2 节 “导入根证书”。
- 导入并验证中间证书(如果尚未导入和验证)。详情请查看 第 15.3 节 “导入中间证书链”。
- 验证并导入对象签名证书:
#PKICertImport -d . -n "certificate name" -t ",,P" -a -i objectsigning.crt -u J如果没有打印错误消息,且返回码为 0 时,验证会成功。要检查返回代码,请在执行上述命令后立即执行 echo $?。在大多数情况下,会输出视觉错误消息。如果验证没有成功,请联系签发者并确保系统中存在所有中间证书和 root 证书。
导入 OCSP 响应器
要导入 OCSP 响应程序:
- 更改到 NSS 数据库目录。例如:
# cd /path/to/nssdb/
- 导入并信任 root 证书(如果尚未导入且可信)。详情请查看 第 15.2 节 “导入根证书”。
- 导入并验证中间证书(如果尚未导入和验证)。详情请查看 第 15.3 节 “导入中间证书链”。
- 验证并导入 OCSP 响应程序证书:
#PKICertImport -d . -n "certificate name" -t ",," -a -i ocsp.crt -u O如果没有打印错误消息,且返回码为 0 时,验证会成功。要检查返回代码,请在执行上述命令后立即执行 echo $?。在大多数情况下,会输出视觉错误消息。如果验证没有成功,请联系签发者并确保系统中存在所有中间证书和 root 证书。
