14.5. NSS データベースでの証明書のインポート

これらの手順の実行中に Web サービスがオフラインになり (停止、無効化など) し、他のプロセス (ブラウザーなど) による NSS データベースへの同時アクセスがないことを確認します。これにより、NSS データベースが破損したり、これらの証明書の使用が不適切になる場合があります。
従う手順セットは、問題の証明書の使用により異なります。
  • 任意のサブシステムの auditSigningCert で、オブジェクトの署名証明書 の検証に以下の手順に従ってください。
  • CA サブシステムの caSigningCert については、中間証明書チェーン をインポートして検証するための上記の手順にいますが、caSigningCert でのみ行います。
  • CA サブシステムの ocspSigningCert については、以下の手順に従って OCSP 証明書 を検証する必要があります。
  • ユーザーのクライアントまたは S/MIME 証明書の場合は、Client Certificate の手順 を実行します。
以下の certutil オプションおよび PKICertImport オプションの詳細は、certutil および PKICertImport を参照してください。

NSS データベースへのクライアント証明書のインポート

NSS データベースへのクライアント証明書のインポートするには、以下を実行します。
  1. NSS データベースディレクトリーに移動します。以下に例を示します。 
    # cd /path/to/nssdb/
  2. ルート証明書をまだインポートおよび信頼していない場合は、インポートして信頼します。詳細は、「ルート証明書のインポート」 を参照してください。
  3. 中間証明書をインポートおよび検証していない場合は、中間証明書をインポートおよび検証します。詳細は、「中間証明書チェーンのインポート」 を参照してください。
  4. クライアント証明書を検証し、インポートします。 
    # PKICertImport -d . -n "client name" -t ",," -a -i client.crt -u C
    エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。

オブジェクト署名証明書のインポート

オブジェクト署名証明書をインポートするには、以下を実行します。
  1. NSS データベースディレクトリーに移動します。以下に例を示します。 
    # cd /path/to/nssdb/
  2. ルート証明書をまだインポートおよび信頼していない場合は、インポートして信頼します。詳細は、「ルート証明書のインポート」 を参照してください。
  3. 中間証明書をインポートおよび検証していない場合は、中間証明書をインポートおよび検証します。詳細は、「中間証明書チェーンのインポート」 を参照してください。
  4. オブジェクト署名証明書を検証し、インポートします。 
    # PKICertImport -d . -n "certificate name" -t ",,P" -a -i objectsigning.crt -u J
    エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。

OCSP レスポンダーのインポート

OCSP レスポンダーをインポートするには、以下を行います。
  1. NSS データベースディレクトリーに移動します。以下に例を示します。 
    # cd /path/to/nssdb/
  2. ルート証明書をまだインポートおよび信頼していない場合は、インポートして信頼します。詳細は、「ルート証明書のインポート」 を参照してください。
  3. 中間証明書をインポートおよび検証していない場合は、中間証明書をインポートおよび検証します。詳細は、「中間証明書チェーンのインポート」 を参照してください。
  4. OCSP レスポンダー証明書を検証およびインポートします。 
    # PKICertImport -d . -n "certificate name" -t ",," -a -i ocsp.crt -u O
    エラーメッセージが出力されず、戻りコードが 0 の場合は、検証が成功します。戻りコードを確認するには、上記のコマンド実行後すぐに echo $? を実行します。ほとんどの場合は、視覚的なエラーメッセージが出力されます。検証に成功しなかった場合は、発行者に連絡し、すべての中間証明書およびルート証明書がシステムに存在することを確認します。