Trustコマンドを使用したシステム証明書の管理
trustコマンドを使用すると、システム証明書の管理を簡略化できます。 このコマンドは、p11-kit-trustパッケージで提供されており、ほとんどのOracle Linuxシステムにデフォルトでインストールされます。
詳細は、trust(1)マニュアル・ページを参照してください。
システム信頼内の証明書のリスト表示
すべての信頼できる証明書をリストするには、次のコマンドを実行します:
trust list
次のような出力が表示されます。
pkcs11:id=%37%7F%3E%3E%99%71%60%CA%24%D4%91%13%79%D0%74%29%B4%A8%24%D8;type=cert
type: certificate
label: A-CERT ADVANCED
trust: anchor
category: authority
pkcs11:id=%4B%3C%8C%1D%85%E9%6F%AD;type=cert
type: certificate
label: A-Trust-Qual-01
trust: anchor
category: authority
...システム信頼内の各証明書には、他の信頼操作で特定の証明書を識別するために使用できるpkcs11:id値が割り当てられていることに注意してください。
信頼アンカーとしての証明書の追加
sudo trust anchor /path/to/public.cert/path/to/public.certを、システム信頼に追加する証明書ファイルへのパスに置き換えます。
このコマンドを実行すると、証明書が/etc/pki/ca-trust/source/ディレクトリに追加され、システム信頼がリフレッシュされます。 証明書はすぐにアンカーとして信頼されます。
通常は、プロバイダからの証明書で、信頼し、システム信頼でまだ利用できない証明書のみを追加します。 また、デモンストレーション目的や内部ツールまたは開発者ツール用に生成する自己署名証明書を追加することもできます。
システムの信頼アンカーからの証明書の削除
システム・トラスト・アンカーから証明書を削除するには、次のコマンドを実行します:
sudo trust anchor --remove pkcs11:id=<ID>一致するpkcs11:id値を使用して、削除する証明書の<ID>を指定します。 または、使用可能な証明書のコピーがある場合は、次のようにそのロケーションを指定できます:
sudo trust anchor --remove /path/to/public.certシステム信頼ストアはすぐに更新されます。