14.4. HSM への証明書のインポート
この手順では、CSR の作成プロセスと同じ HSM トークンでキーが生成された、新しく発行された証明書 (システム証明書の更新時など) を取得した後、証明書を HSM にインポートする方法を説明します。
開始する前に、ディレクトリーを NSS DB に変更します。
- cd /path/to/nssdb for example cd /var/lib/pki/pki-ca/alias
これらの手順の実行中に Web サービスがオフラインになり (停止、無効化など) し、他のプロセス (ブラウザーなど) による NSS DB への同時アクセスがないことを確認します。これにより、NSS DB が破損したり、これらの証明書の使用が不適切になる場合があります。
ルート証明書をインポートして信頼していない場合は、「ルート証明書のインポート」を参照してください。中間証明書をインポートおよび検証していない場合は、「中間証明書チェーンのインポート」を参照してください。
従う手順セットは、問題の証明書の使用により異なります。
- すべての PKI サブスキームの TLS サーバー証明書については、サーバー証明書の手順 に従います。
- サブシステムの監査署名証明書については、以下の手順に従って オブジェクト署名証明書 を検証してください。
- CA サブシステムの署名証明書については、上記の手順に従って 中間証明書チェーン をインポートして検証しますが、caSigningCert でのみ行います。
- CA サブシステムの OCSP 署名証明書については、以下の手順に従って OCSP 証明書 を検証してください。
- PKI サブシステムのその他のシステム証明書については、Client Certificate の手順 に従います。
HSM にサーバー証明書をインポートするには、以下を行います。
- PKICertImport -d . -h HSM -n "host.name.example.com" -t "," -a -i service.crt -u V を実行します。このコマンドは、サーバー証明書を検証して HSM にインポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。通常、親証明書の有効期限または CA 信頼チェーンの欠落 (中間証明書の欠落や CA ルートの欠落など) が原因で、証明書の検証に失敗します。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。
HSM にクライアント証明書をインポートするには、以下を実行します。
- PKICertImport -d . -h HSM -n "client name" -t "," -a -i client.crt -u C を実行します。このコマンドは、クライアント証明書を HSM に検証し、インポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。
HSM にオブジェクト署名証明書をインポートするには、以下を実行します。
- PKICertImport -d . -h HSM -n "certificate name" -t ",,P" -a -i objectsigning.crt -u J を実行します。このコマンドは、オブジェクト署名証明書を HSM に検証し、インポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。
HSM で OCSP 応答署名証明書をインポートするには、次を実行します。
- PKICertImport -d . -h HSM -n "certificate name" -t ",," -a -i ocsp.crt -u O を実行します。このコマンドは、OCSP レスポンダー証明書を HSM に検証し、インポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。