Команда cert_mgr check предназначена для проверки сертификатов, размещенных в базе Продукта.
Синтаксис cert_mgr [-T timeout] check [-i OBJ_INDEXN] |
|
-T timeout |
время ожидания ответа от vpnsvc сервиса. Допустимые значения – 10..36000 секунд, 0 – бесконечное время ожидания. Значение по умолчанию – 600 секунд. |
-i OBJ_INDEXN |
индекс сертификата в базе Продукта, который следует проверить. Необязательный параметр. |
Значение по умолчанию |
значение по умолчанию отсутствует. |
Рекомендации по использованию |
Проверяются сертификаты, находящиеся в базе Продукта. Без указания параметра –i проверяются все сертификаты из базы Продукта. Утилита выводит состояние сертификата "Active" или "Inactive". В случае если сертификат имеет состояние "Inactive", выводится краткое описание причины неактивности: • Certificate is invalid – неверный формат сертификата, • Certificate is expired – срок использования сертификата истек, • Certificate is not valid yet – время использования сертификата не наступило, • Certificate is revoked – сертификат отозван, • Certificate can not be verified – сертификат не удается проверить: • в базе отсутствует сертификат(ы) для построения цепочки сертификатов с корректным конечным CA сертификатом, которому мы доверяем, • в базе нет необходимого CRL для проверки одного из сертификатов цепочки, подобная ситуация может возникнуть при включении проверки CRLs (загружена DDP или в загруженной конфигурации явно задано CRLHandlingMode = ENABLE), • Private key container is not accessible – нет доступа к контейнеру с секретным ключом, • Private key is not accessible – нет доступа к секретному ключу, • Private key is not consistent certificate – секретный ключ не подходит к сертификату, • It is certificate request – данный объект является сертификатным запросом, • Certificate cannot be used for digital signature: incompatible Key Usage value – отсутствует флаг “digitalSignature” в атрибуте “KeyUsage” сертификата, поэтому сертификат не может использоваться для подписи и/или проверки подписи данных. Следует отметить, что сертификат с отсутствующим атрибутом “KeyUsage” может использоваться для подписи и/или проверки подписи данных. |