14.4. HSM への証明書のインポート

この手順では、CSR の作成プロセスと同じ HSM トークンでキーが生成された、新しく発行された証明書 (システム証明書の更新時など) を取得した後、証明書を HSM にインポートする方法を説明します。
開始する前に、ディレクトリーを NSS DB に変更します。
  • cd /path/to/nssdb (cd /var/lib/pki/pki-ca/alias など)
これらの手順の実行中に Web サービスがオフラインになり (停止、無効化など) し、他のプロセス (ブラウザーなど)による NSS DB への同時アクセスがないことを確認します。これにより、NSS DB が破損したり、これらの証明書の使用が不適切になる場合があります。
ルート証明書をインポートして信頼していない場合は、「ルート証明書のインポート」 を参照してください。中間証明書をインポートおよび検証していない場合は、「中間証明書チェーンのインポート」 を参照してください。
従う手順セットは、問題の証明書の使用により異なります。
  • すべての PKI サブスキームの TLS サーバー証明書については、サーバー証明書の手順 に従います。
  • サブシステムの監査署名証明書については、以下の手順に従って オブジェクト署名証明書 を検証してください。
  • CA サブシステムの署名証明書については、上記の手順に従って 中間証明書チェーン をインポートして検証しますが、caSigningCert でのみ行います。
  • CA サブシステムの OCSP 署名証明書については、以下の手順に従って OCSP証明書 を検証してください。
  • PKI サブシステムのその他のシステム証明書については、Client Certificate の手順 に従います。
詳細は、以下に使用する certutil オプションおよび PKICertImport オプションの詳細は、certutil および PKICertImport について」 を参照してください。

HSM にサーバー証明書をインポートするには、以下を行います。

  • PKICertImport -d . -h HSM -n "host.name.example.com" -t ",," -a -i service.crt -u V の実行
    このコマンドは、サーバー証明書を検証して HSM にインポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。通常、親証明書の有効期限または CA 信頼チェーンの欠落 (中間証明書の欠落や CA ルートの欠落など) が原因で、証明書の検証に失敗します。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。

HSM にクライアント証明書をインポートするには、以下を実行します。

  • PKICertImport -d . -h HSM -n "client name" -t ",," -a -i client.crt -u C の実行
    このコマンドは、クライアント証明書を HSM に検証し、インポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。

HSM にオブジェクト署名証明書をインポートするには、以下を実行します。

  • PKICertImport -d . -h HSM -n "certificate name" -t ",,P" -a -i objectsigning.crt -u J の実行
    このコマンドは、オブジェクト署名証明書を HSM に検証し、インポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。

HSM で OCSP 応答署名証明書をインポートするには、次を実行します。

  • PKICertImport -d . -h HSM -n "certificate name" -t ",," -a -i ocsp.crt -u O の実行
    このコマンドは、OCSP レスポンダー証明書を HSM に検証し、インポートします。エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。