15.2.4.5. 签名日志文件
这是签名的审计日志功能的替代选择。签名的审计日志功能会创建自动签名的审计日志;此工具手动签署存档日志。有关签名的审计日志的详情,请参阅 第 15.2.4.3 节 “在控制台中配置签名审计日志”。
要签名日志文件,请使用名为 Signing Tool 的命令行实用程序(签名工具)。有关这个工具的详情,请参考 http://www.mozilla.org/projects/security/pki/nss/tools/。
实用程序使用子系统实例的证书、密钥和安全模块数据库中的信息。
以具有 auditor 特权的用户身份,使用 signtool 命令签署日志目录:
signtool -d secdb_dir -k cert_nickname -Z output input
- secdb_dir 指定包含 CA 的证书、密钥和安全模块数据库的目录路径。
- cert_nickname 指定用于签名的证书的 nickname。
- 输出指定 JAR 文件的名称(签名的 zip 文件)。
- input 指定包含日志文件的目录的路径。
