Red Hat Summit 红帽全球峰会支持控制台(Console)开发人员开始试用联系人

第 3 章 使用共享的系统证书

共享系统证书存储使 NSS、GnuTLS、OpenSSL 和 Java 能够共享一个默认源,以检索系统证书锚点和 blocklist 信息。

3.1. 系统范围的信任存储
复制链接

Red Hat Enterprise Linux 提供一个集中的系统来管理 TLS 证书。默认情况下,truststore 包含 Mozilla CA 列表,其中包括正和负信任。系统可使您能够更新核心 Mozilla CA 列表。

整合的系统范围的 truststore 位于 /etc/pki/ca-trust//usr/share/pki/ca-trust-source/ 目录中。/usr/share/pki/ca-trust-source/ 中信任设置的优先级低于 /etc/pki/ca-trust/ 中设置的优先级。

系统根据您安装它们的子目录来处理证书文件:

  • 信任锚属于

    • /usr/share/pki/ca-trust-source/anchors/
    • /etc/pki/ca-trust/source/anchors/

  • 不信任的证书存储在

    • /usr/share/pki/ca-trust-source/blocklist/
    • /etc/pki/ca-trust/source/blocklist/

  • 扩展的 BEGIN TRUSTED 文件(OpenSSL 信任证书)格式的证书位于

    • /usr/share/pki/ca-trust-source/
    • /etc/pki/ca-trust/source/

要将新证书添加到 truststore 中,您可以将包含证书的文件复制到相应的目录中,并使用 update-ca-trust 命令应用更改。或者,您可以使用 trust anchor 子命令。

注意

在分层加密系统中,信任锚是其他各方认为值得信任的权威实体。在 X.509 架构中,根证书是从中派生信任链的信任锚。要启用链验证,信任方必须首先能够访问信任锚点。

返回顶部
Red Hat logoGithubredditYoutubeTwitter

学习

尝试、购买和销售

社区

关于红帽文档

通过我们的产品和服务,以及可以信赖的内容,帮助红帽用户创新并实现他们的目标。 了解我们当前的更新.

让开源更具包容性

红帽致力于替换我们的代码、文档和 Web 属性中存在问题的语言。欲了解更多详情,请参阅红帽博客.

關於紅帽

我们提供强化的解决方案,使企业能够更轻松地跨平台和环境(从核心数据中心到网络边缘)工作。

Theme

© 2025 Red Hat