Directory Server 5.x での certutil による証明書の確認

Directory Server の移行済み 5.x インスタンスを使用している場合は、証明書データベースツールである certutil を使用して、証明書データベースの内容を確認できます。certutil ツールは、証明書および鍵データベースファイルの内容を表示します。このツールの詳細については、http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html を参照してください。

certutil ツールは、上級ユーザーが証明書データベースを生成する際に使用できます。

たとえば、certutil ツールを次のように実行します。

# ./certutil -L -d /opt/SUNWdsee/alias -P slapd-

Test (SUBCA1) Internal CA    CT,C,C
Test (CMSENG) Internal CA    CT,C,C
ESD SubCA1 Certificate       u,,

このツールにより、証明書 (Test (SUBCA2) Internal CA など) および各証明書に関連付けられた信頼フラグ (CT,C,C など) の一覧が表示されます。SSL サーバー証明書が、C,, フラグの付いた認証局によって生成されていることを確認します。SSL クライアント証明書が、T,, フラグの付いた認証局によって生成されていることを確認します。

たとえば、SSL クライアントとしてしか機能しない証明書を持っているのに、それを SSL サーバーとして使用しようとしても、適切に機能しません。レプリケーションでは、すべての Directory Server レプリカはサプライヤおよびコンシューマとしての役割を果たすため、その証明書は CT,, によって署名されている必要があります。次のように指定して、証明書信頼フラグを CT,, に変更します。

# ./certutil -M -n cert-name -t CT,, -d /opt/SUNWdsee/alias -P slapd-

また、次のオプションを使用して certutil ツールを実行すると、証明書を発行した認証局を確認することもできます。

# ./certutil -L -n server-cert -d /opt/SUNWdsee/alias -P slapd-

この情報を使用して、証明書が証明書データベース内に存在することを確認します。証明書の有効期限を調べ、期限切れになっていないか確認することもできます。