7.1.1 自己署名付き証明書

自己署名付き証明書は、ゲートウェイ固有の秘密鍵で署名されています。自己署名付き証明書は安全ではありませんが、証明書付き証明書が利用可能になる前に証明書を必要とするテストアプリケーションで使用できます。自己署名付き証明書は、CA の署名ではなく、独自の証明書要求を署名として使用します。

共通のフィールドが 10 個あり、PKI を通じて自己署名付き証明書を作成する際に必須となるのが 6 つ、残りの 4 つが任意のフィールドです。必須フィールドは、シリアル番号、証明書署名アルゴリズム識別子、証明書発行者名、証明書の有効期限、公開鍵、および件名です。任意のフィールドは、バージョン番号、2 つの一意の識別子、および拡張子です。任意のフィールドは、バージョン 2 および 3 の証明書でのみ表示されます。

必須の有効期限のフィールドは、証明書が有効になった日と失効する日を示します。NSS certutil が示すデフォルトの有効期限は 3 ヶ月です。ただし、証明書の有効期限のデータは、失効日になるまで信頼することはできません。X.509 CRL 機構は、発行済みの証明書の状態のアップデートを提供し、証明書の失効日を管理します。また、CA は証明書の有効期限を 1 〜 2 年に強制的に設定します。

証明書が失効したり、有効期限が切れたりすると、更新する必要があります。更新とは、新しい証明書を発行することによって公開鍵証明書に示されているデータバインディングの有効期限を延長する行為、またはプロセスを指します。次のコマンドを使用すると、証明書を有効にできます。

-V -n certname -b validity-time -u certusage [-e] [-l] [-d certdir]

次に、証明書を有効にするためのコマンドの使用方法の例を示します。

certutil -V -n jsmith@netscape.com -b 9803201212Z -u SR -e -l -d certdir.

証明書データベースツールに、次のような結果が表示されます。

Certificate:'jsmith@netscape.com' is valid.

または、

UID=jsmith, E=jsmith@netscape.com, CN=John Smith, O=Netscape Communications Corp., C=US : Expired certificate

または、

UID=jsmith, E=jsmith@netscape.com, CN=John Smith, O=Netscape Communications Corp., C=US : Certificate not approved for this operation