Linux中的certutil命令：处理证书与证书数据库的实用工具

在Linux系统中，certutil是一个强大的命令行工具，用于处理X.509证书、证书链、私钥以及与之相关的证书数据库。它通常与NSS（Network Security Services）库一起使用，为许多网络应用（如Firefox和Thunderbird）提供加密和证书管理功能。本文将介绍certutil的基本用法和一些高级功能。

安装certutil

在基于Debian或Ubuntu的系统上，你可以使用apt包管理器来安装：

sudo apt-get update
sudo apt-get install libnss3-tools

在基于Red Hat、Fedora或CentOS的系统上，你可以使用yum或dnf：

sudo yum install nss-tools
# 或者
sudo dnf install nss-tools

基本用法

列出证书数据库中的证书

假设你有一个名为cert8.db的证书数据库（这是Firefox和其他基于NSS的应用通常使用的数据库名称），你可以使用以下命令列出其中的所有证书：

certutil -L -d sql:./cert8.db

这里，-L选项表示列出证书，-d选项指定证书数据库的位置和类型（在这里是SQLite数据库）。

添加证书到数据库

要将证书添加到数据库中，你可以使用-A选项和证书文件的路径：

certutil -A -t "CT,," -n "My Cert" -d sql:./cert8.db -i mycert.crt

在这里，-t选项用于指定证书的信任标志（在这里是客户端信任，CT表示客户端信任，,表示没有额外的信任标志），-n选项用于指定证书在数据库中的昵称，-i选项指定证书文件的路径。

删除证书

要从数据库中删除证书，你可以使用-D选项和证书的昵称：

certutil -D -n "My Cert" -d sql:./cert8.db

导出证书

你可以使用-x选项将证书从数据库导出到文件：

certutil -x -d sql:./cert8.db -n "My Cert" -f mycert_exported.crt

这里，-f选项指定输出文件的路径。

高级功能

修改证书信任设置

你可以使用-M选项来修改证书的信任设置。例如，要将证书标记为不受信任：

certutil -M -t "" -n "My Cert" -d sql:./cert8.db

列出证书链

如果你有一个包含证书链的文件（例如，一个PEM格式的证书文件，其中包含根证书、中间证书和最终实体证书），你可以使用-C选项来列出证书链中的每个证书：

certutil -C -i mycertchain.pem

验证证书

你可以使用-V选项来验证证书链是否有效。这通常涉及检查证书链中的每个证书是否由受信任的根证书颁发，以及证书链中的每个证书是否正确地签名了下一个证书：

certutil -V -u V -d sql:./cert8.db -f mycertchain.pem

在这里，-u V选项表示详细输出验证结果。

总结

certutil是一个功能强大的命令行工具，用于处理X.509证书和与之相关的证书数据库。它提供了许多有用的选项和功能，包括列出、添加、删除、导出和验证证书。通过熟悉这些选项和功能，你可以更有效地管理Linux系统中的证书和证书数据库。