证书信任策略
证书普遍用于保护电子信息。例如,证书可能允许您给电子邮件签名、加密文稿或连接到安全网络。每种用途都受到一种信任策略的监管,信任策略用于确定证书是否对该用途有效。一份证书可能只对部分用途有效,而对其他用途无效。
macOS 使用多种信任策略来确定证书是否可以信任。您可以为每个证书选取不同的策略,从而更好地控制证书的评估方法。
| 信任策略 | 描述 |
|---|---|
| 使用系统默认设置或不指定任何值 | 对证书使用默认设置。 |
| 总是信任 | 您信任作者,并想要总是允许访问服务器或应用。 |
| 永不信任 | 您不信任作者,并且不允许访问服务器或应用。 |
| 安全套接字层 (SSL) | 服务器的证书的名称必须与它的 DNS 主机名匹配才能成功建立连接。系统不会检查 SSL客户端证书的主机名。如果有扩展密匙使用栏,它必须包含相应的值。 |
| 安全邮件 (S/MIME) | 电子邮件使用 S/MIME安全地签名和加密邮件。用户的电子邮件地址必须在证书中列出,而且必须包括相关的密匙使用栏。 |
| 可扩展鉴定协议 (EAP) | 接入要求 802.1X 鉴定的网络时,服务器证书上的名称必须与它的 DNS 主机名相符。这不会检查客户端证书的主机名。如果有扩展的密匙使用栏,它必须包含相应的值。 |
| IP 安全性 (IPSec) | 当证书用于保护 IP 通信时(例如建立 VPN 连接),服务器证书上的名称必须与它的 DNS 主机名相符。这不会检查客户端证书的主机名。如果有扩展的密匙使用栏,它必须包含相应的值。 |
| 代码签名 | 该证书必须包含明确规定它可以用代码签名的密钥使用设置。 |
| 时间戳 | 此策略确定证书是否可用于创建受信任的时间戳,该时间戳可验证出现在特定时间的数字签名。 |
| X.509 基本策略 | 此策略确定证书基本要求的有效性(如由有效证书颁发机构颁发的证书),但不关注目的或允许的密钥用途。 |
