第 3 章 使用共享的系统证书
共享的系统证书存储使 NSS、GnuTLS、OpenSSL 和 Java 能够共享用于检索系统证书锚和块列表信息的默认源。默认情况下,信任存储包含 Mozilla CA 列表,包括正和负信任。系统允许更新核心 Mozilla CA 列表或选择其他证书列表。
3.1. 系统范围的信任存储
在 RHEL 中,整合的系统范围的信任存储位于 /etc/pki/ca-trust/ 和 /usr/share/pki/ca-trust-source/ 目录中。对 /usr/share/pki/ca-trust-source/ 中信任设置的优先级的处理低于/etc/pki/ca-trust/ 中的设置。
证书文件根据它们所安装到的子目录处理。例如,信任定位符属于 /usr/share/pki/ca-trust-source/anchors/ 或 /etc/pki/ca-trust/source/anchors/ 目录。
注意
在分层加密系统中,信任锚是其他各方认为值得信任的权威实体。在 X.509 架构中,根证书是从中派生信任链的信任锚。要启用链验证,信任方必须首先能够访问信任锚。
其他资源
-
update-ca-trust(8)和trust(1)手册页
