Network Security Services (Русский)

Состояние перевода: На этой странице представлен перевод статьи Network Security Services. Дата последней синхронизации: 14 декабря 2015. Вы можете помочь синхронизировать перевод, если в английской версии произошли изменения.

Network Security Services (NSS) — набор библиотек, нацеленный на поддержку разработки кроссплатформенных клиентских и серверных приложений, для которых важна безопасность.

Приложения, встроенные в NSS, поддерживают SSL v2/v3, TLS, PKCS #5/#7/#11/#12, S/MIME, X.509 v3, а также прочие стандарты безопасности.

Установка

Установите пакет nss, доступный в официальных репозиториях.

Управление сертификатами

Для управления сертификатами используйте утилиту certutil, входящую в состав пакета NSS.

Список сертификатов

Показать список установленных сертификатов:

$ certutil -d sql:$HOME/.pki/nssdb -L

Показать подробную информацию о сертификате:

$ certutil -d sql:$HOME/.pki/nssdb -L -n имя_сертификата

Импортирование сертификата

Для добавления сертификата используйте опцию -A:

$ certutil -d sql:$HOME/.pki/nssdb -A -t "TRUSTARGS" -n имя_сертификата -i /путь/к/файлу/сертификата

Аргумент TRUSTARGS состоит из трех групп, разделенных запятыми. Каждая группа представляет собой набор букв (флагов), которые определяют доверие сертификата для SSL, электронной почты и подписи объектов, например "TCu,Cu,Tuw". Их описание вы можете найти в документации certutil^{[устаревшая ссылка 2021-05-17]} или в этой статье от Meena.

Для добавления персонального сертификата и личного ключа для SSL авторизации используйте:

$ pk12util -d sql:$HOME/.pki/nssdb -i /путь/к/файлу/сертификата/PKCS12.p12

Данная команда импортирует персональный сертификат и личный ключ в файле PKCS #12. Аргумент TRUSTARGS персонального сертификата будет установлен как "u,u,u".

Изменение сертификата

Вызовите certutil с опцией -M для редактирования параметров сертификата. Например, для редактирования списка TRUSTARGS:

$ certutil -d sql:$HOME/.pki/nssdb -M -t "TRUSTARGS" -n имя_сертификата

Удаление сертификата

Используйте опцию -D для удаления сертификата:

$ certutil -d sql:$HOME/.pki/nssdb -D -n имя_сертификата

Добавление сертификатов WebMoney

Примечание: В последних версиях Chromium добавление сертификата в NSS можно также произвести в настройках chrome://settings/certificates.

Как известно, Chromium не имеет собственного хранилища сертификатов, поэтому, для работы с WebMoney Keeper Light, необходимо добавить корневой и личный сертификаты в хранилище NSS.

Проверяем, что хранилище сертификатов работает и доступ к нему есть:

$ certutil -d sql:$HOME/.pki/nssdb -L

Устанавливаем корневой сертификат (вместо WebMoneyTransferRootCA.crt введите путь к файлу корневого сертификата):

$ certutil -d sql:$HOME/.pki/nssdb -A -t "C,," -n "WebmoneyCA" -i WebMoneyTransferRootCA.crt

Устанавливаем личный сертификат (вместо PersonalCert.p12 введите путь к файлу личного сертификата):

$ pk12util -d sql:$HOME/.pki/nssdb -i PersonalCert.p12

Если всё прошло успешно, после перезапуска Chromium вы сможете авторизоваться в WebMoney Keeper Light используя личный сертификат.

Смотрите также

Network Security Services^{[устаревшая ссылка 2021-05-17]} на mozilla.org.
Using the Certificate Database Tool^{[устаревшая ссылка 2021-05-17]} на mozilla.org.
Certificate management в Chromium Wiki.
Managing Certificate Trust flags in NSS Database в блоге Meena.