17.7. 更改 CA 证书的信任设置
可能需要临时或永久更改证书数据库中存储的 CA 上的信任设置。例如,如果访问或被破坏的证书存在问题,请将 CA 证书标记为不受信任的,可防止使用这个 CA 签名的证书向证书系统进行身份验证的实体。当问题被解决时,CA 可以再次标记为可信。
要永久取消信任 CA,请考虑将其证书从信任数据库中删除。具体说明请查看 第 17.6.3 节 “从数据库中删除证书”。
17.7.1. 通过控制台更改信任设置
注意
pkiconsole
已被弃用。
要更改 CA 证书的信任设置,请执行以下操作:
- 打开子系统控制台。
pkiconsole https://server.example.com:secure_port/subsystem_type
- 在 Configuration 选项卡中,从左侧导航树中,系统 密钥和证书。
- 选择 CA 证书 选项卡。
- 选择要修改的 CA 证书,然后单击。
- 提示会打开哪个读取 证书链(un)信任是否是(un) trust?点 yes 更改证书链的信任设置;按 不 保留原始信任关系。
17.7.2. 使用 certutil 更改信任设置
要使用 certutil 更改证书的信任设置,请执行以下操作:
- 打开实例的证书数据库目录。
cd /var/lib/pki/instance_name/alias
- 使用 -L 选项运行 certutil,列出数据库中的证书。例如:
certutil -L -d . Certificate Authority - Example Domain CT,c, subsystemCert cert-instance_name u,u,u Server-Cert cert-instance_name u,u,u
- 使用 -M 选项运行 certutil 来更改证书的信任设置。
certutil -M -n cert_nickname -t trust -d .
例如:certutil -M -n "Certificate Authority - Example Domain" -t TCu,TCu,TCu -d .
- 再次列出证书以确认证书信任已更改。
certutil -L -d . Certificate Authority - Example Domain CTu,CTu,CTu subsystemCert cert-instance_name u,u,u Server-Cert cert-instance_name u,u,u
有关使用 certutil 命令的详情,请参考 http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html。