要列出已配置的 PKCS#11 令牌中的密钥和证书,请运行以下命令:
certutil -L -d AS_NSS_DB [-h tokenname]
例如,要列出默认 NSS 软令牌的内容,请键入以下命令:
certutil -L -d AS_NSS_DB
标准输出类似于以下内容:
verisignc1g1 T,c,c verisignc1g2 T,c,c verisignc1g3 T,c,c verisignc2g3 T,c,c verisignsecureserver T,c,c verisignc2g1 T,c,c verisignc2g2 T,c,c verisignc3g1 T,c,c verisignc3g2 T,c,c verisignc3g3 T,c,c s1as u,u,u |
此输出的左列显示了令牌的名称,右列显示了一组(三个)信任属性,对于 Application Server 证书,这组属性通常为 T,c,c。与 J2SE java.security.KeyStore API(它仅包含一个信任级别)不同,NSS 技术包含多个信任级别。Application Server 主要关注第一个信任属性,该属性说明此令牌如何使用 SSL。对于该属性:
T 表示可信任证书授权机构 (Certificate Authority, CA) 颁发客户机证书。 |
u 表示您可以使用证书(及密钥)进行验证或签名。 |
属性组合 u,u,u 表示数据库中存在私钥。 |
要列出硬件令牌 mytoken 的内容,请运行以下命令:
certutil -L -d AS_NSS_DB -h mytoken
系统将提示您输入硬件令牌的密码。标准输出类似于以下内容:
Enter Password or Pin for "mytoken": mytoken:Server-Cert 	u,u,u |