名前
cmgetcrl - CRLの取得
形式
cmgetcrl [-ed EnvDir] -url Url [-pr Proxy] [ -lc LDAPHopLimit] [-w Wait] [-iv IPVersion]
機能説明
指定したURLからCRLを取得してCRLの管理環境に格納します。
以下に、cmgetcrlコマンドのオプションと引数を説明します。
Interstage HTTP ServerのSSL環境構築で作成した運用管理ディレクトリを絶対パスで指定します。省略時は、環境変数“CMIPATH”に設定されている情報を有効とします。
CRLの取得先をhttpまたはLDAPで指定します。
proxyサーバのホスト名を指定します。-urlでhttpを指定した場合にのみ有効です。-urlにhttp以外が指定された場合は、本オプションの指定は無視されます。
リフェラル使用時の、LDAPサーバからLDAPサーバへのHOPカウントを0~100で指定します。なお、-urlでldapを指定した場合にのみ有効となります。-urlにldap以外が指定された場合は、本オプションの指定は無視されます。
0を指定した場合は、HOPカウントの制限はありません。省略値は5とみなします。
サーバとの通信の応答待ち時間を1~300秒で指定します。省略値は150秒とみなします。
-urlでのホスト名がIPv6とIPv4の両方のアドレスを持っている場合、どちらのアドレスを優先するかを指定します。-urlでhttpを指定した場合のみ有効です。
なお、-urlでldapを指定した場合、IPv6とIPv4のどちらのアドレスが優先されるかは、LDAP SDKに依存します。
V4 : IPv4のアドレスを優先します。(省略時)
V6 : IPv6のアドレスを優先します。
注意事項
取得先に指定できるURLは、http、ldapのみです。
LDAPでCRLを取得する場合には、下記のどちらかのLDAP SDKをインストールしておく必要があります。
SystemWalker/InfoDirectory V10以降
Interstage ディレクトリサービス
proxyサーバのホスト名を指定した場合、指定したサーバを経由してCRLを取得します。省略した場合は、-urlで指定した取得先から直接CRLを取得します。
CRLを格納する際、格納済みのCRLが同じ認証局で発行されており、格納するCRLより古い場合には新しいCRLのみを登録します。
登録するCRLの発行者である認証局の証明書は、あらかじめ登録しておく必要があります。未登録の場合、CRLの検証でエラーを通知します。
指定したURLに複数のCRLが存在した場合、取得したすべてのCRLを格納します。
CRLの取得先の指定は、RFC3986に従う必要があります。URL中の文字列に空白を含める場合は「%20」を指定してください。
IPv6環境では、リンクローカルアドレスやリンクローカルアドレスを割り当てられたホスト名をCRLの取得先に指定しないでください。
IPv6環境では、IPv4射影アドレスやIPv4射影アドレスを割り当てられたホスト名をCRLの取得先に指定しないでください。
CRLの取得先の指定で、ポート番号を省略した場合、デフォルトのポートを使用します。
CRLをldapで取得する場合、URL中の「;binary」の指定は省略可能です。なお、ポート番号を除き、その他の値(ホスト名など)については、省略できません。
CRLをldapで取得する場合、-urlのldapでホスト名を指定することを推奨します。なお、IPv6アドレスを指定した場合の動作は、LDAP SDKに依存します。
使用例
http://crl.fujitsu.com/pki.crlからCRLを取得する場合。
cmgetcrl -ed C:\Temp\CertDir -url http://crl.fujitsu.com/pki.crl |
ldap://ldap.fujitsu.com:/cn=Fujitsu%20Certification%20Authority,o=Fujitsu%20group,c=jp?CertificateRevocationList;binaryからCRLを取得する場合。
cmgetcrl -ed C:\Temp\CertDir -url ldap://ldap.fujitsu.com:/cn=Fujitsu%20Certification%20Authority,o=Fujitsu%20group,c=jp?CertificateRevocationList;binary |
