9.3.3. CA 証明書のインストール

Directory Server が認証局 (CA) を信頼できるようにするには、CA の証明書を Network Security Services (NSS) データベースにインストールする必要があります。このプロセスでは、CA が発行する証明書を信頼すべてきかどうかを設定する必要があります。

表9.1 CA 信頼オプション
コンソールオプション	`certutil` オプション	詳細
クライアントからの接続を許可（クライアント認証）	`T,,`	サーバーは、TLS EXTERNAL バインドに適したクライアント証明書を発行するためにこの CA 証明書を信頼します。
他のサーバーへの接続の許可（サーバー認証）	`C,,`	サーバーは、レプリケーションパートナーへの暗号化された接続を確立するために使用する証明書を検証し、信頼できる CA により発行されていることを確認します。

CA に両方のオプションを設定できます。certutil を使用する場合は、-T "CT,," パラメーターをユーティリティーに渡します。

Directory Server の NSS データベースに CA 証明書をインストールするには、certutil ユーティリティーを使用します。たとえば、/etc/pki/CA/nss/ca.crt ファイルに保存されている CA 証明書をインポートするには、以下を実行します。

Copy to Clipboard Toggle word wrap

certutil -d /etc/dirsrv/slapd-instance_name/ -A -n "certificate_nickname" \
     -t "C,," -i /etc/pki/CA/nss/ca.crt

# certutil -d /etc/dirsrv/slapd-instance_name/ -A -n "certificate_nickname" \
     -t "C,," -i /etc/pki/CA/nss/ca.crt

-t trust_options パラメーターは、CA が発行する証明書を信頼する証明書を設定します。表9.1「CA 信頼オプション」を参照してください。

上記のコマンドで使用したパラメーターの詳細は、certutil(1) の man ページを参照してください。

トップに戻る