4 システム証明書の管理
10より前のOracle Linuxリリースでは、システム全体で信頼できる証明書は、/etc/pki/ca-trust/および/usr/share/pki/ca-trust-source/ディレクトリに格納されます。
Oracle Linuxリリース10では、システム全体で信頼できる証明書は、/etc/pki/ca-trust/extractedディレクトリに.pemファイルとして格納されます。
ノート:
Oracle Linuxリリース10を使用していて、アプリケーション、スクリプトまたは構成が/etc/pki/tls/certs内のファイルを直接参照している場合は、新しいパスを使用するように変更します。
たとえば、古いパスは次のようになります:
/etc/pki/tls/certs/ca-bundle.crt次を使用する必要があります:
/etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem通常、主要なサードパーティCAのCA証明書は、アプリケーションが正しく動作できるようにシステム全体の信頼ストアに含まれています。 信頼できる証明書を中央の場所に格納することで、幅広いアプリケーションでこれらの信頼できる証明書を使用して証明書チェーンを検証および認証できます。 たとえば、アプリケーションが証明書を検証する必要がある場合、システム全体の信頼内の証明書を使用して、証明書が信頼できる証明書と一致するかどうか、または証明書によって署名されているかどうかを確認します。
信頼できる証明書としてシステムに格納されるCA証明書などの証明書は、信頼アンカーと呼ばれることがよくあります。 これにより、通常は信頼アンカーが見つかるまで証明書チェーンをたどることで信頼が得られる証明書と区別されます。 任意の公開証明書を信頼アンカーとしてシステム信頼に追加し、すぐに検証できるようにすることが可能です。
Mozilla Foundationが通常信頼するサードパーティのCA証明書を選択し、CA-certificatesパッケージに含まれています。 これらの証明書は、一般に使用するためのアンカーとしてシステム信頼ストアにインストールされます。