Chrome是从哪里获得证书颁发机构列表的?


21

在Fedora上,我说的是当您转到设置>管理证书>授权标签时显示的列表。

我读过它应该在NSS共享数据库中,但是此命令返回一个空列表:

[laurent@localhost nssdb]$ certutil -d sql:$HOME/.pki/nssdb -L

Answers:


13

这些是NSS内置证书。它们是通过共享库提供的:(/usr/lib/libnssckbi.so系统上的路径可能不同)。这就是Chrome从中获取它们的地方。
您可以这样列出它们certutil

在链接到库~/.pki/nssdb

ln -s /usr/lib/libnssckbi.so ~/.pki/nssdb

然后运行:

certutil -L -d sql:$HOME/.pki/nssdb/ -h 'Builtin Object Token'

输出:

Certificate Nickname                                         Trust Attributes
                                                             SSL,S/MIME,JAR/XPI

Builtin Object Token:GTE CyberTrust Global Root              C,C,C
Builtin Object Token:Thawte Server CA                        C,,C 
Builtin Object Token:Thawte Premium Server CA                C,,C 
Builtin Object Token:Equifax Secure CA                       C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 1 C,C,C
Builtin Object Token:Digital Signature Trust Co. Global CA 3 C,C,C
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority C,C,C
Builtin Object Token:Verisign Class 1 Public Primary Certification Authority - G2 ,C,  
Builtin Object Token:Verisign Class 2 Public Primary Certification Authority - G2 ,C,C 
Builtin Object Token:Verisign Class 3 Public Primary Certification Authority - G2 C,C,C
Builtin Object Token:GlobalSign Root CA                      C,C,C
Builtin Object Token:GlobalSign Root CA - R2                 C,C,C
Builtin Object Token:ValiCert Class 1 VA                     C,C,C
Builtin Object Token:ValiCert Class 2 VA                     C,C,C
Builtin Object Token:RSA Root Certificate 1                  C,C,C
..................................................................
..................................................................

9

它们来自底层操作系统。你可以在这里读到它:

链接摘录

Google Chrome浏览器尝试使用基础操作系统的根证书存储来确定站点提供的SSL证书是否确实可信赖,只有少数例外。

该页面会继续描述如果您是各种操作系统等的根CA提供商,那么应该与谁联系。

参考文献


3

由于您实际上需要使用根CA列表而提出的机会很少,这里是它们(不幸的是仅通过索引命名):

单个证书文件

https://github.com/coolaj86/node-ssl-root-cas/tree/master/pems

Mozilla的证书大文件

http://mxr.mozilla.org/mozilla/source/security/nss/lib/ckfw/builtins/certdata.txt?raw=1

用于解析证书大文件的脚本

https://github.com/coolaj86/node-ssl-root-cas

https://github.com/bagder/curl/blob/master/lib/mk-ca-bundle.pl

http://curl.haxx.se/docs/mk-ca-bundle.html

有关提取Mozilla证书文件的一般信息

http://curl.haxx.se/docs/caextract.html

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.