検索

14.3. 中間証明書チェーンのインポート

download PDF
開始する前に、ディレクトリーを NSS DB に変更します。
  • cd /path/to/nssdb
これらの手順の実行中に Web サービスがオフラインであることを確認します (停止、無効化など)、他のプロセス (ブラウザーなど) による NSS DB への同時アクセスがないことを確認します。これにより、NSS DB が破損したり、これらの証明書の使用が不適切になる場合があります。
ルート証明書をインポートして信頼していない場合は、「ルート証明書のインポート」を参照してください。
ルートサーバーとエンドサーバーまたはクライアント証明書間に一連の中間証明書が指定される場合は、ルート CA 証明書から最も適したように、署名済み証明書チェーンをインポートおよび検証する必要があります。中間 CA は ca_sub_<num>.crt という名前のファイル (例:ca_sub_1.crtca_sub_2.crt など) を想定しています。デプロイメントに合わせて、証明書の名前とパスを置き換えます。
注記
代わりに、fullchain.crtfullchain.pem、または同様の名前の単一ファイルが与えられ、それには複数の証明書が含まれている場合、各ブロック (----BEGIN CERTIFICATE----- マーカーと -----END CERTIFICATE----- マーカーと、その間のテキストを含む) を独自のファイルにコピーして、それを上記のフォーマットに分割します。最初のものは ca_sub_<num>.crt という名前で、最後のコンポーネントは service.crt という名前のサーバーの証明書です。サーバー証明書については、以降のセクションで説明します。
まず、ルート CA 証明書から最も遠い順に、中間 CA をインポートして検証します。存在していない場合は、次のセクションに進みます。
以下の certutil オプションおよび PKICertImport オプションの詳細は、certutil および PKICertImport を参照してください。

チェーン内のすべての中間証明書に対して、以下を行います。

  • Execute PKICertImport -d . -n "CA Sub $num" -t "CT,C,C" -a -i ca_sub_$num.crt -u L
    このコマンドは、中間 CA 証明書を NSS DB に検証し、インポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。
Red Hat logoGithubRedditYoutubeTwitter

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

Red Hat をお使いのお客様が、信頼できるコンテンツが含まれている製品やサービスを活用することで、イノベーションを行い、目標を達成できるようにします。

多様性を受け入れるオープンソースの強化

Red Hat では、コード、ドキュメント、Web プロパティーにおける配慮に欠ける用語の置き換えに取り組んでいます。このような変更は、段階的に実施される予定です。詳細情報: Red Hat ブログ.

会社概要

Red Hat は、企業がコアとなるデータセンターからネットワークエッジに至るまで、各種プラットフォームや環境全体で作業を簡素化できるように、強化されたソリューションを提供しています。

© 2024 Red Hat, Inc.