5.2.2 Параметры, связанные с сертификатами

--enable-policy-checks

--disable-policy-checks

По умолчанию проверка правил включена. Этими параметрами это можно менять.

--enable-crl-checks

--disable-crl-checks

По умолчанию проверки списков отозванных сертификатов включены, и dirmngr используется для проверки отозванных сертификатов. Параметр --disable-crl-checks полезнее всего, когда сеть отключена и проверки нужно подавить.

--enable-trusted-cert-crl-check

--disable-trusted-cert-crl-check

По умолчанию списки отозванных сертификатов для доверенных корневых сертификатов проверяются, как для любых других сертификатов. Это позволяет удостоверяющему центру отзывать свои собственные сертификаты без необходимости размещения всех когда-либо выданных сертификатов в списоке отозванных сертификатов. Параметр --disable-trusted-cert-crl-check можно использовать, чтобы отключить эту дополнительную проверку. Из-за буферирования, проводимого в dirmngr, заметного выигрыша в быстродействии не будет. Обратите внимание, что это отключает также возможные проверки доверенных корневых сертификатов по OCSP. Более выборочно эту проверку можно отключить, добавляя ключевое слово «relax» в строку корневого удостоверяющего центра в файле trustlist.txt.

--force-crl-refresh

Дать программе dirmngr указание перезагружать список отозванных сертификатов на каждом запросе. Для ускорения dirmngr в действительности оптимизирует это, подавляя загрузки на короткое время (напр., 30 минут). Этот параметр полезен, чтобы гарантировать, что для сертификатов со щита с ключами есть свежий список отозванных сертификатов. Предлагается делать это, используя этот с параметром --with-validation для команды перечисления ключей. Этот параметр не следует записывать в файл настроек.

--enable-ocsp

--disable-ocsp

По умолчанию проверки по OCSP выключены. Параметром --enable-ocsp можно включить проверки по OCSP через dirmngr. Если проверки списков отозванных сертификатов тоже включены, списки отозванных сертификатов будут использованы как запасной вариант, если по какой-то причине запрос OCSP не пройдет. Обратите внимание, что в настройках dirmngr тоже нужно включать запросы по OCSP (параметр --allow-ocsp), и dirmngr нужно соответственно настроить. Если этого не сделать, будет выдана ошибка ‘Не поддерживается’.

--auto-issuer-key-retrieve

Если при проверке цепочки сертификатов требуемый сертификат отсутствует, пытаться загрузить этот сертификат из внешнего источника. Это обычно означает, что для поиска сертификата задействуется dirmngr. Обратите внимание, что это может привести к «сетевому проколу». Операторы сервера LDAP могут узнать, какие ключи вы запрашиваете, так что оператор может узнать и ваш адрес IP, и время, когда вы проверяли подпись, если пошлет вам сообщение, подписанное свежесозданным ключом (которого у вас в локальной таблице ключей, естественно, не найдется).

--validation-model название

Этот параметр изменяет исходную схему проверки. Возможны значения: «shell» (исходная), «chain» (цепочная схема) и «steed» (новая упрощенная схема). Цепочная схема применяется также, если этого требует параметр в trustlist.txt или атрибут в сертификате. Однако в этом случае сначала всегда применяется исходная модель («shell»).

--ignore-cert-extension oid

Добавить oid к списку игнорируемых расширений сертификатов. Аргумент должен представлять десятичные числа, разделенные точками, например, 2.5.29.3. Этот параметр можно задавать несколько раз. Расширения сертификата, совпадающие с перечисленными OID и помеченные как критичные, будут считаться обработанными, так что сертификат не будет отбракован из-за неизвестного критичного расширения. Пользуйтесь этим параметром с осторожностью, потому что расширения обычно не помечаются как критичные без причины.