14.5. NSS データベースでの証明書のインポート
これらの手順の実行中に Web サービスがオフラインになり (停止、無効化など) し、他のプロセス (ブラウザーなど) による NSS データベースへの同時アクセスがないことを確認します。これにより、NSS データベースが破損したり、これらの証明書の使用が不適切になる場合があります。
従う手順セットは、問題の証明書の使用により異なります。
- 任意のサブシステムの auditSigningCert で、オブジェクトの署名証明書 の検証に以下の手順に従ってください。
- CA サブシステムの caSigningCert については、中間証明書チェーン をインポートして検証するための上記の手順にいますが、caSigningCert でのみ行います。
- CA サブシステムの ocspSigningCert については、以下の手順に従って OCSP 証明書 を検証する必要があります。
- ユーザーのクライアントまたは S/MIME 証明書の場合は、Client Certificate の手順 を実行します。
NSS データベースへのクライアント証明書のインポート
NSS データベースへのクライアント証明書のインポートするには、以下を実行します。
- NSS データベースディレクトリーに移動します。以下に例を示します。
# cd /path/to/nssdb/
- ルート証明書をまだインポートおよび信頼していない場合は、インポートして信頼します。詳細は、「ルート証明書のインポート」 を参照してください。
- 中間証明書をインポートおよび検証していない場合は、中間証明書をインポートおよび検証します。詳細は、「中間証明書チェーンのインポート」 を参照してください。
- クライアント証明書を検証し、インポートします。
#
PKICertImport -d . -n "client name" -t ",," -a -i client.crt -u Cエラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。
オブジェクト署名証明書のインポート
オブジェクト署名証明書をインポートするには、以下を実行します。
- NSS データベースディレクトリーに移動します。以下に例を示します。
# cd /path/to/nssdb/
- ルート証明書をまだインポートおよび信頼していない場合は、インポートして信頼します。詳細は、「ルート証明書のインポート」 を参照してください。
- 中間証明書をインポートおよび検証していない場合は、中間証明書をインポートおよび検証します。詳細は、「中間証明書チェーンのインポート」 を参照してください。
- オブジェクト署名証明書を検証し、インポートします。
#
PKICertImport -d . -n "certificate name" -t ",,P" -a -i objectsigning.crt -u Jエラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。
OCSP レスポンダーのインポート
OCSP レスポンダーをインポートするには、以下を行います。
- NSS データベースディレクトリーに移動します。以下に例を示します。
# cd /path/to/nssdb/
- ルート証明書をまだインポートおよび信頼していない場合は、インポートして信頼します。詳細は、「ルート証明書のインポート」 を参照してください。
- 中間証明書をインポートおよび検証していない場合は、中間証明書をインポートおよび検証します。詳細は、「中間証明書チェーンのインポート」 を参照してください。
- OCSP レスポンダー証明書を検証およびインポートします。
#
PKICertImport -d . -n "certificate name" -t ",," -a -i ocsp.crt -u Oエラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。