Menggunakan Sertifikat Sistem Bersama

NITISH SHARMA, Mirek Jahoda, Petr Bokoc Versi F31 and newer Last review: 2020

Penyimpanan Sertifikat Sistem Bersama memungkinkan NSS, GnuTLS, OpenSSL, dan Java untuk berbagi sumber default dalam mendapatkan informasi daftar sertifikat tepercaya (certificate anchors) serta daftar hitam (blacklist). Secara bawaan, penyimpanan kepercayaan ini memuat daftar CA Mozilla, termasuk kepercayaan positif dan negatif. Sistem ini memungkinkan pembaruan daftar CA inti Mozilla atau penggunaan daftar sertifikat lain sesuai kebutuhan.

Menggunakan Penyimpanan Kepercayaan Secara Sistem

Di Fedora, penyimpanan kepercayaan terpadu secara sistem terletak di direktori /etc/pki/ca-trust/ dan /usr/share/pki/ca-trust-source/. Pengaturan kepercayaan di /usr/share/pki/ca-trust-source/ diproses dengan prioritas lebih rendah dibandingkan pengaturan di /etc/pki/ca-trust/.

Berkas sertifikat diperlakukan berbeda tergantung pada subdirektori tempat berkas tersebut dipasang di direktori berikut:

  • untuk trust anchors (sertifikat terpercaya)

    • /usr/share/pki/ca-trust-source/anchors/ atau

    • /etc/pki/ca-trust/source/anchors/

  • untuk sertifikat yang tidak dipercaya (distrusted certificates)

    • /usr/share/pki/ca-trust-source/blocklist/ atau

    • /etc/pki/ca-trust/source/blocklist/

  • untuk sertifikat dalam format berkas extended BEGIN TRUSTED

    • /usr/share/pki/ca-trust-source/ or

    • /etc/pki/ca-trust/source/

Dalam sistem kriptografi hierarkis, trust anchor adalah entitas otoritatif yang dianggap tepercaya. Sebagai contoh, dalam arsitektur X.509, sertifikat root merupakan trust anchor dari mana rantai kepercayaan diturunkan. Trust anchor harus dimiliki oleh pihak yang mempercayai sebelumnya agar validasi rantai kepercayaan dapat dilakukan.

Menambahkan Sertifikat Baru

Sering kali, administrator sistem ingin menginstal sertifikat ke dalam penyimpanan kepercayaan. Hal ini dapat dilakukan dengan sub-perintah trust anchor dari perintah trust, sebagaimana dijelaskan dalam Pengelolaan Sertifikat Sistem Tepercaya.

Sebagai alternatif, Anda dapat menyalin berkas sertifikat dalam format berkas PEM atau DER ke direktori /etc/pki/ca-trust/source/anchors/, lalu menjalankan perintah update-ca-trust, misalnya:

# cp ~/certificate-trust-examples/Cert-trust-test-ca.pem /etc/pki/ca-trust/source/anchors/
# update-ca-trust

Perintah update-ca-trust memastikan bahwa bundel sertifikat dalam format aplikasi tertentu, seperti Java keystore, dibuat ulang secara otomatis.

Sertifikat yang diinstal dengan langkah-langkah di atas tidak dapat dihapus dengan trust anchor --remove.

Meskipun peramban Firefox dapat menggunakan sertifikat yang ditambahkan tanpa menjalankan update-ca-trust, disarankan untuk tetap menjalankan update-ca-trust setelah ada perubahan CA. Perlu diperhatikan juga bahwa beberapa peramban seperti Firefox, Epiphany, atau Chromium, menyimpan cache file, sehingga Anda mungkin perlu menghapus cache atau memulai ulang peramban agar memuat konfigurasi sertifikat sistem yang terbaru.

Mengelola Sertifikat Sistem Tepercaya

Untuk menampilkan daftar, mengekstrak, menambah, menghapus, atau mengubah trust anchors, gunakan perintah trust. Untuk melihat panduan bantuan bawaan perintah ini, jalankan tanpa argumen atau dengan opsi --help:

$ trust
usage: trust command <args>...

Perintah umum untuk trust adalah:
  list             Menampilkan daftar trust atau sertifikat
  extract          Mengekstrak sertifikat dan kepercayaannya
  extract-compat   Mengekstrak bundel kompatibilitas trust
  anchor           Menambah, menghapus, atau mengubah trust anchor
  dump             Menampilkan objek trust dalam format internal

Lihat 'trust  --help' untuk informasi lebih lanjut

Untuk menampilkan semua trust anchor dan sertifikat sistem, gunakan perintah trust list:

$ trust list
pkcs11:id=%d2%87%b4%e3%df%37%27%93%55%f6%56%ea%81%e5%36%cc%8c%1e%3f%bd;type=cert
    type: certificate
    label: ACCVRAIZ1
    trust: anchor
    category: authority

pkcs11:id=%a6%b3%e1%2b%2b%49%b6%d7%73%a1%aa%94%f5%01%e7%73%65%4c%ac%50;type=cert
    type: certificate
    label: ACEDICOM Root
    trust: anchor
    category: authority
...
[output has been truncated]

Untuk menyimpan trust anchor ke dalam penyimpanan kepercayaan sistem, gunakan sub-perintah trust anchor dan tentukan path.to ke sertifikat, misalnya:

# trust anchor path.to/certificate.crt

Untuk menghapus sertifikat, gunakan baik path.to ke sertifikat atau ID sertifikat tersebut:

# trust anchor --remove path.to/certificate.crt
# trust anchor --remove "pkcs11:id=%AA%BB%CC%DD%EE;type=cert"
Informasi lebih lanjut

Semua sub-perintah dari perintah trust memiliki panduan bantuan bawaan yang rinci, misalnya:

$ trust list --help
usage: trust list --filter=<what>

  --filter=<what>     filter of what to export
                        ca-anchors        certificate anchors
                        blacklist         blacklisted certificates
                        trust-policy      anchors and blacklist (default)
                        certificates      all certificates
                        pkcs11:object=xx  a PKCS#11 URI
  --purpose=<usage>   limit to certificates usable for the purpose
                        server-auth       for authenticating servers
                        client-auth       for authenticating clients
                        email             for email protection
                        code-signing      for authenticating signed code
                        1.2.3.4.5...      an arbitrary object id
  -v, --verbose       show verbose debug output
  -q, --quiet         suppress command output

Sumber Daya Tambahan

Untuk informasi lebih lanjut, lihat halaman manual berikut:

  • update-ca-trust(8)

  • trust(1)

Want to help? Learn how to contribute to Fedora Docs