macOS High Sierra

证书信任策略

证书普遍用于保护电子信息。例如,证书可能允许您给电子邮件签名、加密文稿或连接到安全网络。每种用途都受到一种信任策略的监管,信任策略用于确定证书是否对该用途有效。一份证书可能只对部分用途有效,而对其他用途无效。

macOS 使用多种信任策略来确定证书是否可以信任。您可以为每个证书选取不同的策略,从而更好地控制证书的评估方法。

为我打开“钥匙串访问”

信任策略

描述

使用系统默认设置或不指定任何值

对证书使用默认设置。

总是信任

您信任作者,并想要总是允许访问服务器或应用。

永不信任

您不信任作者,并且不允许访问服务器或应用。

安全套接字层 (SSL)

服务器的证书的名称必须与它的 DNS 主机名匹配才能成功建立连接。系统不会检查 SSL 客户端证书的主机名。如果有扩展密匙使用栏,它必须包含相应的值。

安全邮件 (S/MIME)

电子邮件使用 S/MIME 安全地签名和加密邮件。用户的电子邮件地址必须在证书中列出,而且必须包括相关的密匙使用栏。

可扩展鉴定协议 (EAP)

接入要求 802.1X 鉴定的网络时,服务器证书上的名称必须与它的 DNS 主机名相符。这不会检查客户端证书的主机名。如果有扩展的密匙使用栏,它必须包含相应的值。

IP 安全性 (IPSec)

当证书用于保护 IP 通信时(例如建立 VPN 连接),服务器证书上的名称必须与它的 DNS 主机名相符。这不会检查客户端证书的主机名。如果有扩展的密匙使用栏,它必须包含相应的值。

代码签名

该证书必须包含明确规定它可以用代码签名的密钥使用设置。

时间戳

此策略确定证书是否可用于创建受信任的时间戳,该时间戳可验证出现在特定时间的数字签名。

X.509 基本策略

此策略确定证书基本要求的有效性(如由有效证书颁发机构颁发的证书),但不关注目的或允许的密钥用途。