Menu Close
Settings Close

Language and Page Formatting Options

第 7 章 使用共享的系统证书

共享的系统证书存储使 NSS、GnuTLS、OpenSSL 和 Java 能够共享用于检索系统证书锚和块列表信息的默认源。默认情况下,信任存储包含 Mozilla CA 列表,包括正和负信任。系统允许更新核心 Mozilla CA 列表或选择其他证书列表。

7.1. 系统范围的信任存储

在 Red Hat Enterprise Linux 中,整合的系统范围的信任存储位于 /etc/pki/ca-trust//usr/share/pki/ca-trust-source/ 目录中。对 /usr/share/pki/ca-trust-source/ 中信任设置的优先级的处理低于/etc/pki/ca-trust/ 中的设置。

证书文件的处理取决于它们安装到以下目录的子目录:

  • 对于信任锚

    • /usr/share/pki/ca-trust-source/anchors/
    • /etc/pki/ca-trust/source/anchors/
  • 对于不信任的证书

    • /usr/share/pki/ca-trust-source/blacklist/
    • /etc/pki/ca-trust/source/blacklist/
  • 对于扩展 BEGIN TRUSTED 文件格式的证书

    • /usr/share/pki/ca-trust-source/
    • /etc/pki/ca-trust/source/
注意

在分层加密系统中,信任锚是其他各方认为值得信任的权威实体。在 X.509 架构中,根证书是从中派生信任链的信任锚。要启用链验证,信任方必须首先能够访问信任锚。