Chrome은 인증 기관 목록을 어디에서 가져 옵니까?


21

Fedora에서 설정> 인증서 관리> 권한 탭으로 이동하면 표시되는 목록에 대해 이야기하고 있습니다.

NSS 공유 DB에 있어야한다는 것을 읽었지만이 명령은 빈 목록을 반환합니다.

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

답변:


13

그것들은 NSS내장 인증서입니다. 공유 라이브러리를 통해 제공됩니다 /usr/lib/libnssckbi.so(시스템에서 경로가 다를 수 있음). 그것이 Chrome이 제공하는 곳입니다.
다음과 certutil같이 나열 할 수 있습니다 .

라이브러리를 ~/.pki/nssdb다음 위치에 링크하십시오 .

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

그런 다음 다음을 실행하십시오.

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

산출:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

9

기본 운영 체제에서 가져옵니다. 여기에서 읽을 수 있습니다.

위 링크에서 발췌

Chrome은 몇 가지 예외를 제외하고 기본 운영 체제의 루트 인증서 저장소를 사용하여 사이트에서 제공 한 SSL 인증서가 실제로 신뢰할 수 있는지 확인합니다.

이 페이지는 다양한 OS 등의 루트 CA 공급자 인 경우 누구에게 연락해야하는지 설명합니다.

참고 문헌


3

실제로 루트 CA 목록을 사용해야하기 때문에 묻는 경우가 있습니다 (불행히도 색인에 의해서만 이름이 지정됨).

개별 인증서 파일

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

모질라의 큰 인증서 파일

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

큰 인증서 파일을 구문 분석하는 스크립트

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

Mozilla 인증서 파일 추출에 대한 일반 정보

http://curl.haxx.se/docs/caextract.html

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.