15.2.4.5. 签名日志文件

CertificateCertificate Systemnbsp;System 可在存档或分发为审核前为日志文件进行数字签名。此功能允许检查文件以进行篡改。
这是签名的审计日志功能的替代选择。签名的审计日志功能会创建自动签名的审计日志;此工具手动签署存档日志。有关签名的审计日志的详情,请参阅 第 15.2.4.3 节 “在控制台中配置签名审计日志”
要签名日志文件,请使用名为 Signing Tool 的命令行实用程序(签名工具)。有关这个工具的详情,请参考 http://www.mozilla.org/projects/security/pki/nss/tools/
实用程序使用子系统实例的证书、密钥和安全模块数据库中的信息。
以具有 auditor 特权的用户身份,使用 signtool 命令签署日志目录: 
signtool -d secdb_dir -k cert_nickname -Z output input
  • secdb_dir 指定包含 CA 的证书、密钥和安全模块数据库的目录路径。
  • cert_nickname 指定用于签名的证书的 nickname。
  • 输出指定 JAR 文件的名称(签名的 zip 文件)。
  • input 指定包含日志文件的目录的路径。