Следующий: Сигналы dirmngr, Пред: Параметры dirmngr, Вверх: Вызов DIRMNGR [Содержание][Указатель]
При работе в фоновом режиме dirmngr использует несколько
каталогов: там находится несколько файлов настроек, управляющих работой
dirmngr. По умолчанию они располагаются в текущем домашнем
каталоге (см. параметр --homedir).
Это обычный файл настроек, который dirmngr читает при запуске. В
нем могут быть только допустимые длинные параметры; символов «–» перед
названием параметра быть не должно, сокращения не допускаются. Этот файл
считывается также после SIGHUP, однако действуют не все
параметры. Это исходное имя файла можно изменить в командной строке
(см. параметр --options). Для этого файла следует проводить резервное
копирование.
Этот каталог должен быть заполнен сертификатами корневых удостоверяющих центров, которым вы доверяете проверку списков отозванных сертификатов и подпись ответов по OCSP.
Обычно это те же сертификаты, которыми вы пользуетесь с приложениями,
обращающимися к dirmngr. Ожидается, что каждый из этих файлов
содержит ровно один сертификат в кодировке DER; имя файла должно
заканчиваться на .crt или .der. Программа dirmngr
считывает эти сертификаты при запуске и при получении сигнала
SIGHUP. Сертификаты, которые не удалось прочесть или которые не представляют
правильного сертификата X.509, игнорируются; подробности см. в файле
протокола работы.
Приложения, пользующиеся dirmngr (напр., gpgsm), могут
запрашивать эти сертификаты, чтобы составить цепь доверия так же, как это
делается с каталогом extra-certs (см. ниже).
Обратите внимание, что сертификаты для ответов OCSP, указанные с помощью параметра --ocsp-signer, всегда считаются пригодными для подписи запросов OCSP.
Этот каталог может содержать дополнительные сертификаты, которые загружаются
во внутренний буфер при запуске программы. Приложения, пользующиеся
dirmngr (напр., gpgsm), могут запрашивать эти
сертификаты, чтобы составить цепь доверия. Это удобно в случаях, когда у вас
есть пара промежуточных сертификатов удостоверяющих центров или
сертификатов, обычно применяемых для подписи ответов OCSP. Эти сертификаты
программа пытается использовать перед тем, как выходить в сеть за
сертификатами. Эти сертификаты должны быть в кодировке DER; имя файла должно
заканчиваться на .crt или .der.
В этом каталоге хранятся запомненные списки отозванных сертификатов. Каталог
crls.d создается программой dirmngr, если не существует, но
вам нужно позаботиться, чтобы существовал каталог, в котором он находится.
Чтобы была возможность увидеть, что происходит, нужно создать файл настроек ~/gnupg/dirmngr.conf по крайней мере с одной строкой:
log-file ~/dirmngr.log
Чтобы можно было выполнять запросы по OCSP, вам, вероятно, понадобится добавить строку:
allow-ocsp
Чтобы гарантировать, что новые параметры считаны и что после установки новых
версий GnuPG работает только что установленный dirmngr, может
потребоваться прекратить выполнение работающего dirmngr:
gpgconf --kill dirmngr
Чтобы понять, правильно ли загрузились все желаемые корневые сертификаты, можно заглянуть в файл протокола работы.
Следующий: Сигналы dirmngr, Пред: Параметры dirmngr, Вверх: Вызов DIRMNGR [Содержание][Указатель]