cert_mgr check

Команда cert_mgr  check предназначена для проверки сертификатов, находящихся в базе Продукта.

Синтаксис 

cert_mgr [-T timeout] check [-i OBJ_INDEXN]

-T  timeout                     время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 600 секунд

-i  OBJ_INDEXN             индекс сертификата в базе Продукта, который следует проверить. Необязательный параметр.

Значение по умолчанию    значение по умолчанию отсутствует

 

Рекомендации по использованию

Проверяются сертификаты, находящиеся в базе Продукта. Без указания параметра –i проверяются все сертификаты из базы Продукта.

Утилита выводит состояние сертификата "Active" или "Inactive". В случае, если сертификат имеет состояние "Inactive", то выводится краткое описание причины неактивности:

·       Certificate is invalid – неверный формат сертификата

·       Certificate is expired – срок действия сертификата истек

·       Certificate is not valid yet – время действия сертификата еще не наступило

·       Certificate is revoked – сертификат отозван

·       Certificate can not be verified – сертификат не удается проверить:

·       в базе отсутствует сертификат(ы) для построения цепочки сертификатов с корректным конечным CA сертификатом, которому мы доверяем

·       в базе нет необходимого CRL для проверки одного из сертификатов цепочки, подобная ситуация может возникнуть при включении проверки CRLs (загружена DDP или в загруженной конфигурации явно задано CRLHandlingMode = ENABLE)

·       Private key container is not accessible – нет доступа к контейнеру с секретным ключом

·       Private key is not accessible – нет доступа к секретному ключу

·       Private key is not consistent certificate – секретный ключ не подходит к сертификату

·       It is certificate request – данный объект является сертификатным запросом.

·       Certificate cannot be used for digital signature: incompatible Key Usage value – отсутствует флаг “digitalSignature” в атрибуте “KeyUsage” сертификата, поэтому сертификат не может использоваться для подписи и/или проверки подписи данных. Следует отметить, что сертификат с отсутствующим атрибутом “KeyUsage” может использоваться для подписи и/или проверки подписи данных.