16.7. CA 証明書の信頼設定の変更

Certificate System サブシステムは、証明書データベース内の CA 証明書を使用して、SSL 対応の通信中に受信した証明書を検証します。
証明書データベースに保存されている CA の信頼設定を、一時的または永続的に変更する必要がある場合があります。たとえば、アクセスまたは侵害された証明書に問題がある場合、CA 証明書を信頼できないものとしてマークすると、その CA によって署名された証明書を持つエンティティーが Certificate System に対して認証されなくなります。問題が解決されると、CA は再び信頼できるとマークできます。
CA の信頼を永続的に解除するには、信頼データベースからその証明書を削除することを検討してください。手順は、「データベースからの証明書の削除」を参照してください。

16.7.1. コンソールからの信頼設定の変更

CA 証明書の信頼設定を変更するには、以下を実行します。
  1. サブシステムコンソールを開きます。
    pkiconsole https://server.example.com:secure_port/subsystem_type
  2. Configuration タブで、左側のナビゲーションツリーから System Keys and Certificates を選択します。
  3. CA certificates タブを選択します。
  4. 変更する CA 証明書を選択し、Edit をクリックします。
  5. The Certificate chain is (un)trusted, are you sure you want to (un)trust it? というプロンプトが開きます。
    yes をクリックすると、証明書チェーンの信頼設定が変更されます。no を押すと、元の信頼関係が保持されます。

16.7.2. certutil を使用した信頼設定の変更

certutil を使用して証明書の信頼設定を変更するには、以下を実行します。
  1. インスタンスの証明書データベースディレクトリーを開きます。
    cd /var/lib/pki/instance_name/alias
    
  2. -L オプションを使用して certutil を実行し、データベースの証明書を一覧表示します。以下に例を示します。
    certutil -L -d .
    
    Certificate Authority - Example Domain    CT,c,
    subsystemCert cert-instance_name          u,u,u
    Server-Cert cert-instance_name            u,u,u
    
  3. -M オプションを使用して certutil を実行し、証明書の信頼設定を変更します。
    certutil -M -n cert_nickname -t trust -d .
    以下に例を示します。
    certutil -M -n "Certificate Authority - Example Domain" -t TCu,TCu,TCu -d .
  4. 証明書を再度一覧表示し、証明書が削除されたことを確認します。
    certutil -L -d .
    
    Certificate Authority - Example Domain    CTu,CTu,CTu
    subsystemCert cert-instance_name          u,u,u
    Server-Cert cert-instance_name            u,u,u
    
certuil コマンドの使用方法は、http://www.mozilla.org/projects/security/pki/nss/tools/certutil.html を参照してください。