Команда cert_mgr checkпредназначена для проверки сертификатов, размещенных в базе Продукта.
Синтаксис
cert_mgr [-T timeout] check [-i OBJ_INDEXN]
-T timeout время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 600 секунд.
-i OBJ_INDEXN индекс сертификата в базе Продукта, который следует проверить. Необязательный параметр.
Значение по умолчанию значение по умолчанию отсутствует.
Рекомендации по использованию
Проверяются сертификаты, находящиеся в базе Продукта. Без указания параметра –i проверяются все сертификаты из базы Продукта.
Утилита выводит состояние сертификата "Active" или "Inactive". В случае, если сертификат имеет состояние "Inactive", выводится краткое описание причины неактивности:
· Certificate is invalid – неверный формат сертификата
· Certificate is expired – срок использования сертификата истек
· Certificate is not valid yet – время использования сертификата не наступило
· Certificate is revoked – сертификат отозван
· Certificate can not be verified – сертификат не удается проверить:
· в базе отсутствует сертификат(ы) для построения цепочки сертификатов с корректным конечным CA сертификатом, которому мы доверяем
· в базе нет необходимого CRL для проверки одного из сертификатов цепочки, подобная ситуация может возникнуть при включении проверки CRLs (загружена DDP или в загруженной конфигурации явно задано CRLHandlingMode = ENABLE)
· Private key container is not accessible – нет доступа к контейнеру с секретным ключом
· Private key is not accessible – нет доступа к секретному ключу
· Private key is not consistent certificate – секретный ключ не подходит к сертификату
· It is certificate request – данный объект является сертификатным запросом.
Пример
Проверка сертификатов в базе Продукта:
сert_mgr check
1 State: Inactive CN=partner
Certificate is expired.
Valid from: Wed Sep 22 00:17:02 2011
Valid to: Thu Sep 22 00:27:02 2012