第 3 章 使用共享的系统证书
共享的系统证书存储使 NSS、GnuTLS、OpenSSL 和 Java 能够共享用于检索系统证书锚和块列表信息的默认源。默认情况下,信任存储包含 Mozilla CA 列表,包括正和负信任。系统允许更新核心 Mozilla CA 列表或选择其他证书列表。
3.1. 系统范围的信任存储
在 RHEL 中,整合的系统范围的信任存储位于 /etc/pki/ca-trust/ 和 /usr/share/pki/ca-trust-source/ 目录中。对 /usr/share/pki/ca-trust-source/ 中信任设置的优先级的处理低于/etc/pki/ca-trust/ 中的设置。
证书文件根据它们所安装到的子目录处理:
信任锚属于
-
/usr/share/pki/ca-trust-source/anchors/或 -
/etc/pki/ca-trust/source/anchors/。
-
不信任的证书存储在
-
/usr/share/pki/ca-trust-source/blocklist/或 -
/etc/pki/ca-trust/source/blocklist/。
-
扩展的 BEGIN TRUSTED 文件格式的证书位于
-
/usr/share/pki/ca-trust-source/或 -
/etc/pki/ca-trust/source/。
-
注意
在分层加密系统中,信任锚是其他各方认为值得信任的权威实体。在 X.509 架构中,根证书是从中派生信任链的信任锚。要启用链验证,信任方必须首先能够访问信任锚。
其他资源
-
您系统上的
update-ca-trust (8)和trust (1)手册页
