10.2. 导入 root 证书

在执行这些步骤时，请确保您的 Web 服务离线（停止、禁用等），并确保其他进程（如浏览器）不会并发访问 nssdb。这样做可能会破坏 nssdb，或导致不当使用这些证书。

当需要导入新 root 证书时，请确保以安全的方式获取此证书，因为它能够为多个证书签名。我们假设您已在名为 ca_root.crt 的文件中。请根据您的场景替换该文件的正确名称和路径。

有关以下使用的 certutil 和 PKICertImport 选项的详情，请参考第 10.1 节 “关于 certutil 和 PKICertImport”。

流程

首先，将目录改为 nssdb ：
```
cd /path/to/nssdb
```
```
# cd /path/to/nssdb
```
Copy to Clipboard Toggle word wrap
导入 root 证书：
```
PKICertImport -d . -n "CA Root" -t "CT,C,C" -a -i ca_root.crt -u L
```
```
# PKICertImport -d . -n "CA Root" -t "CT,C,C" -a -i ca_root.crt -u L
```
Copy to Clipboard Toggle word wrap
此命令将 root 证书验证并导入到您的 nssdb 中。当没有输出错误消息且返回码为 0 时，验证成功。要检查返回代码，请在执行上述命令后立即执行 echo $?。在大多数情况下，会输出视觉错误消息。证书通常无法验证，因为它已过期，或者不是 CA 证书。因此，请确保您的证书文件正确且最新的。联系签发者，并确保您的系统中存在所有中间和 root 证书。

返回顶部

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务，以及可以信赖的内容，帮助红帽用户创新并实现他们的目标。了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情，请参阅红帽博客.

關於紅帽

我们提供强化的解决方案，使企业能够更轻松地跨平台和环境（从核心数据中心到网络边缘）工作。

Theme

© 2025 Red Hat