第 5 章 更改 CA 信任标志
证书颁发机构(CA)信任标志定义了目录服务器信任 CA 证书的情况。例如,您可以将标志设置为信任到服务器的 TLS 连接的证书,以及用于基于证书的身份验证。
5.1. 使用命令行更改 CA 信任标志
您可以在证书颁发机构(CA)证书上设置以下信任标记:
-
c
: Trusted CA -
T
: Trusted CA 客户端身份验证 -
c
: Valid CA -
P
: Trusted peer -
P
: Valid peer -
U
:私钥
您可以使用三种类别指定信任标志: TLS、电子邮件、对象签名
例如,要信任 TLS 加密和基于证书的验证的 CA,请将信任标志设置为 CT,
。
前提条件
- 您可以将 CA 证书导入到网络安全服务(NSS)数据库。
流程
使用以下命令更改 CA 证书的信任标志:
# dsconf -D "cn=Directory Manager" ldap://server.example.com security ca-certificate set-trust-flags "Example CA" --flags "trust_flags"
验证
显示 NSS 数据库中的所有证书:
#
certutil -d /etc/dirsrv/slapd-instance_name/ -L
Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI Example CA CT,,
其他资源
-
certutil(1)
手册页