第 5 章 更改 CA 信任标志

证书颁发机构(CA)信任标志定义了目录服务器信任 CA 证书的情况。例如,您可以将标志设置为信任到服务器的 TLS 连接的证书,以及用于基于证书的身份验证。

5.1. 使用命令行更改 CA 信任标志

您可以在证书颁发机构(CA)证书上设置以下信任标记:

  • c: Trusted CA
  • T: Trusted CA 客户端身份验证
  • c: Valid CA
  • P: Trusted peer
  • P: Valid peer
  • U :私钥

您可以使用三种类别指定信任标志: TLS、电子邮件、对象签名

例如,要信任 TLS 加密和基于证书的验证的 CA,请将信任标志设置为 CT,

前提条件

  • 您可以将 CA 证书导入到网络安全服务(NSS)数据库。

流程

  1. 使用以下命令更改 CA 证书的信任标志: 

    # dsconf -D "cn=Directory Manager" ldap://server.example.com security ca-certificate set-trust-flags "Example CA" --flags "trust_flags"

验证

  • 显示 NSS 数据库中的所有证书: 

    # certutil -d /etc/dirsrv/slapd-instance_name/ -L

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Example CA                                                   CT,,

其他资源

  • certutil(1)手册页