Network Security Services (Русский)

From ArchWiki
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.
Состояние перевода: На этой странице представлен перевод статьи Network Security Services. Дата последней синхронизации: 14 декабря 2015. Вы можете помочь синхронизировать перевод, если в английской версии произошли изменения.

Network Security Services (NSS) — набор библиотек, нацеленный на поддержку разработки кроссплатформенных клиентских и серверных приложений, для которых важна безопасность.

Приложения, встроенные в NSS, поддерживают SSL v2/v3, TLS, PKCS #5/#7/#11/#12, S/MIME, X.509 v3, а также прочие стандарты безопасности.

Установка

Установите пакет nss, доступный в официальных репозиториях.

Управление сертификатами

Для управления сертификатами используйте утилиту certutil, входящую в состав пакета NSS.

Список сертификатов

Показать список установленных сертификатов:

$ certutil -d sql:$HOME/.pki/nssdb -L

Показать подробную информацию о сертификате:

$ certutil -d sql:$HOME/.pki/nssdb -L -n имя_сертификата

Импортирование сертификата

Для добавления сертификата используйте опцию -A:

$ certutil -d sql:$HOME/.pki/nssdb -A -t "TRUSTARGS" -n имя_сертификата -i /путь/к/файлу/сертификата

Аргумент TRUSTARGS состоит из трех групп, разделенных запятыми. Каждая группа представляет собой набор букв (флагов), которые определяют доверие сертификата для SSL, электронной почты и подписи объектов, например "TCu,Cu,Tuw". Их описание вы можете найти в документации certutil[устаревшая ссылка 2021-05-17] или в этой статье от Meena.

Для добавления персонального сертификата и личного ключа для SSL авторизации используйте:

$ pk12util -d sql:$HOME/.pki/nssdb -i /путь/к/файлу/сертификата/PKCS12.p12

Данная команда импортирует персональный сертификат и личный ключ в файле PKCS #12. Аргумент TRUSTARGS персонального сертификата будет установлен как "u,u,u".

Изменение сертификата

Вызовите certutil с опцией -M для редактирования параметров сертификата. Например, для редактирования списка TRUSTARGS:

$ certutil -d sql:$HOME/.pki/nssdb -M -t "TRUSTARGS" -n имя_сертификата

Удаление сертификата

Используйте опцию -D для удаления сертификата:

$ certutil -d sql:$HOME/.pki/nssdb -D -n имя_сертификата

Добавление сертификатов WebMoney

Примечание: В последних версиях Chromium добавление сертификата в NSS можно также произвести в настройках chrome://settings/certificates.

Как известно, Chromium не имеет собственного хранилища сертификатов, поэтому, для работы с WebMoney Keeper Light, необходимо добавить корневой и личный сертификаты в хранилище NSS.

Проверяем, что хранилище сертификатов работает и доступ к нему есть:

$ certutil -d sql:$HOME/.pki/nssdb -L

Устанавливаем корневой сертификат (вместо WebMoneyTransferRootCA.crt введите путь к файлу корневого сертификата):

$ certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n "WebmoneyCA" -i WebMoneyTransferRootCA.crt

Устанавливаем личный сертификат (вместо PersonalCert.p12 введите путь к файлу личного сертификата):

$ pk12util -d sql:$HOME/.pki/nssdb -i PersonalCert.p12

Если всё прошло успешно, после перезапуска Chromium вы сможете авторизоваться в WebMoney Keeper Light используя личный сертификат.

Смотрите также