第5章 CA 信頼フラグの変更
認証局 (CA) の信頼フラグは、DirectoryServer が CA 証明書を信頼するシナリオを定義します。たとえば、フラグを設定して、TLS 接続の証明書をサーバーへ信頼し、証明書ベースの認証用に設定します。
5.1. コマンドラインを使用した CA 信頼フラグの変更
以下の信頼フラグを認証局 (CA) 証明書に設定できます。
-
C
: 信頼される CA -
T
: 信頼される CA クライアント認証 -
c
: 有効な CA -
P
: 信頼されるピア -
p
: 有効なピア -
u
: 秘密鍵
TLS, email, object signing
の 3 つのカテゴリーでコンマ区切りの信頼フラグを指定します
たとえば、TLS 暗号化および証明書ベースの認証の CA を信頼するには、信頼フラグを CT
に設定します。
前提条件
- CA 証明書をネットワークセキュリティーサービス (NSS) データベースにインポートしている。
手順
以下のコマンドを使用して、CA 証明書の信頼フラグを変更します。
# dsconf -D "cn=Directory Manager" ldap://server.example.com security ca-certificate set-trust-flags "Example CA" --flags "trust_flags"
検証
NSS データベースのすべての証明書を表示します。
#
certutil -d /etc/dirsrv/slapd-instance_name/ -L
Certificate Nickname Trust Attributes SSL,S/MIME,JAR/XPI Example CA CT,,
関連情報
-
certutil(1)
の man ページ