cert_mgr check

Команда cert_mgr check предназначена для проверки сертификатов, находящихся в базе Продукта.

Синтаксис

cert_mgr [-T timeout] check [-i OBJ_INDEX01] [-i OBJ_INDEX0N]

-T timeout

время ожидания ответа от vpnsvc сервиса.

Допустимые значения - 10..36000 секунд, 0 - бесконечное время ожидания. Значение по умолчанию - 600 секунд

-i OBJ_INDEX0N

порядковые номера интересующих сертификатов.

Значение по

умолчанию

отсутствует

Рекомендации по использованию

Порядковые номера сертификатов совпадают с номерами объектов, находящихся в базе Продукта. При указании номеров сертификатов проверяются только они. При отсутствии номеров сертификатов проверяются все сертификаты, находящиеся в базе Продукта.

Утилита выводит состояние сертификата "Active"  или "Inactive". В случае, если сертификат имеет состояние "Inactive", то выводится краткое описание причины неактивности:

•   Certificate is invalid - неверный формат сертификата.

•   Certificate is expired  - срок действия сертификата истек.

•   Certificate is not valid yet - время действия сертификата еще не наступило.

•   Certificate is revoked - сертификат отозван.

•   Certificate can not be verified - сертификат не удается проверить:

     в базе отсутствует сертификат(ы) для построения цепочки сертификатов с корректным конечным CA сертификатом, которому мы доверяем.

     в базе нет необходимого CRL  для проверки одного из сертификатов цепочки, подобная ситуация может возникнуть при включении проверки CRLs (загружена DDP или в загруженной конфигурации явно задано CRLHandlingMode = ENABLE).

•   Private key container is not accessible - нет доступа к контейнеру с секретным ключом.

•   Private key is not accessible - нет доступа к секретному ключу.

•   Private key is not consistent certificate - секретный ключ не подходит к сертификату.

•   It is certificate request - данный объект является сертификатным запросом.

•   Certificate cannot be used for digital signature: incompatible Key Usage value - отсутствует флаг “digitalSignature” в атрибуте “KeyUsage” сертификата, поэтому сертификат не может использоваться для подписи и/или проверки подписи данных. Следует отметить, что сертификат с отсутствующим атрибутом “KeyUsage” может использоваться для подписи и/или проверки подписи данных.