7.1.1 自签名证书

自签名证书通过网关自身的私钥来进行签名。自签名证书并不安全，但是可使用它们在签名证书可用前测试需要证书的应用程序。自签名证书将其自身的证书请求而非 CA 的签名用作签名。

在通过 PKI 创建自签名证书时，共有十个通用字段，其中六个字段为必填字段，其余四个为可选字段。序列号、证书签名算法标识符、证书颁发者名称、证书有效期、公钥和主题名称为必填字段。可选字段有版本号、两个唯一标识符和扩展名。这些可选字段仅出现在版本 2 和版本 3 证书中。

必填字段“有效期”表示证书的生效时间和到期时间。NSS certutil 中提供的默认到期时间为三个月。然而，在到期时间前，证书中的有效数据会变得不可靠。X.509 CRL 机制提供其已颁发证书的状态更新以密切关注证书的到期时间。此外，CA 也将证书的到期时间强制限制为一到两年。

证书到期或其有效期结束后，需要进行续展。续展是一种行为或过程，即通过颁发新证书来延长由公钥证书所声明的数据绑定的有效期。可使用以下命令验证证书：

-V -n certname -b validity-time -u certusage [-e] [-l] [-d certdir]

以下示例说明如何使用命令来验证证书：

certutil -V -n jsmith@netscape.com -b 9803201212Z -u SR -e -l -d certdir.

“证书数据库工具”显示与以下内容类似的结果：

Certificate:'jsmith@netscape.com' is valid.

或

UID=jsmith, E=jsmith@netscape.com, CN=John Smith, O=Netscape Communications Corp., C=US : Expired certificate

或

UID=jsmith, E=jsmith@netscape.com, CN=John Smith, O=Netscape Communications Corp., C=US : Certificate not approved for this operation