Directory Server の移行済み 5.x インスタンスを使用している場合は、証明書データベースツールである certutil を使用して、証明書データベースの内容を確認できます。certutil ツールは、証明書および鍵データベースファイルの内容を表示します。このツールの詳細については、http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html を参照してください。
certutil ツールは、上級ユーザーが証明書データベースを生成する際に使用できます。
たとえば、certutil ツールを次のように実行します。
# ./certutil -L -d /opt/SUNWdsee/alias -P slapd- Test (SUBCA1) Internal CA CT,C,C Test (CMSENG) Internal CA CT,C,C ESD SubCA1 Certificate u,, |
このツールにより、証明書 (Test (SUBCA2) Internal CA など) および各証明書に関連付けられた信頼フラグ (CT,C,C など) の一覧が表示されます。SSL サーバー証明書が、C,, フラグの付いた認証局によって生成されていることを確認します。SSL クライアント証明書が、T,, フラグの付いた認証局によって生成されていることを確認します。
たとえば、SSL クライアントとしてしか機能しない証明書を持っているのに、それを SSL サーバーとして使用しようとしても、適切に機能しません。レプリケーションでは、すべての Directory Server レプリカはサプライヤおよびコンシューマとしての役割を果たすため、その証明書は CT,, によって署名されている必要があります。次のように指定して、証明書信頼フラグを CT,, に変更します。
# ./certutil -M -n cert-name -t CT,, -d /opt/SUNWdsee/alias -P slapd- |
また、次のオプションを使用して certutil ツールを実行すると、証明書を発行した認証局を確認することもできます。
# ./certutil -L -n server-cert -d /opt/SUNWdsee/alias -P slapd- |
この情報を使用して、証明書が証明書データベース内に存在することを確認します。証明書の有効期限を調べ、期限切れになっていないか確認することもできます。