「ネットワークセキュリティサービス」の版間の差分

Network Security Services (NSS) はセキュア通信を用いるクライアント・サーバーアプリケーションの開発のために作られたクロスプラットフォームなライブラリのセットです。

NSS を使って作成されたアプリケーションは SSL v2 と v3, TLS, PKCS #5, #7, PKCS #11, PKCS #12, S/MIME, X.509 v3 証明書などのセキュリティ規格をサポートします。

NSS は、 Chromium や Firefox などの多くのパッケージで必要です。

インストール

公式リポジトリにある nss をインストールしてください。

証明書の管理

NSS に付属している certutil ユーティリティを使うことで証明書を管理できます。

証明書 DB の確認

全ての証明書のリストを表示するには:

$ certutil -d sql:$HOME/.pki/nssdb -L

証明書の詳細を確認するには:

$ certutil -d sql:$HOME/.pki/nssdb -L -n certificate_nickname

RSA 秘密鍵を生成

$ certutil -G -d database_directory -g keysize -n nickname

証明書署名要求を生成

$ certutil -S -s subject -n nickname -x -t C,C,C -o file

自己署名証明書を生成

$ certutil -S -s subject -n nickname -x -t C,C,C -o file

証明書のインポート

証明書を追加するには -A オプションを使います:

$ certutil -d sql:$HOME/.pki/nssdb -A -t "TRUSTARGS" -n certificate_nickname -i /path/to/cert/filename

TRUSTARGS は、0個以上のアルファベット文字の3つの文字列であり、コンマで区切られています。例:"TCu、Cu、Tuw" これらは、SSL、電子メール、およびオブジェクト署名に対して証明書を信頼する方法を定義し、 certutil ドキュメントで説明されています。 または ブログ投稿 信頼フラグについて参照。

SSL クライアント認証のための個人証明書と秘密鍵を追加するには次のコマンドを使います:

$ pk12util -d sql:$HOME/.pki/nssdb -i /path/to/PKCS12/cert/filename.p12

上記のコマンドで PKCS #12 ファイルに保存されている個人証明書と秘密鍵がインポートされます。個人証明書の TRUSTARGS は "u,u,u" に設定されます。

証明書の編集

証明書を編集するには certutil に -M オプションを付けます。例えば、TRUSTARGS を編集するには:

$ certutil -d sql:$HOME/.pki/nssdb -M -t "TRUSTARGS" -n certificate_nickname

証明書の削除

証明書を削除するには -D オプションを使って下さい:

$ certutil -d sql:$HOME/.pki/nssdb -D -n certificate_nickname

参照

• Network Security Services on mozilla.org.
• Using the Certificate Database Tool on mozilla.org.
• Certificate management on Chromium help.
• Managing Certificate Trust flags in NSS Database on Meena's blog.