NSX Advanced Load Balancer では、証明書失効リスト (CRL) の使用がサポートされています。CRL は、認証局 (CA) によって発行されたファイルで、CA によって発行され、その後失効した証明書が一覧表示されます。クライアントが仮想サービスへの SSL 接続要求を送信すると、NSX Advanced Load Balancer は仮想サービスの PKI プロファイルで CA と CRL を確認し、クライアント証明書が有効かどうかを検証できます。

PKI プロファイルには、フルチェーン CRL チェックのオプション([CRL チェックを有効にする])があります。フル チェーン CRL の有効化または無効化の影響は次のとおりです。

フルチェーン CRL チェックの状態

説明

無効

デフォルトでは、仮想サービスで使用される HTTP プロファイルでクライアント証明書の検証が有効になっている場合、仮想サービスで使用される PKI プロファイルには、クライアントの証明書に署名した CA によって発行された CRL が少なくとも 1 つ含まれている必要があります。

クライアントが証明書の検証に合格するには、プロファイル内の CRL がクライアントによって提示された証明書に署名したのと同じ CA からのものである必要があり、証明書が取り消されたものとして CRL にリストされていてはなりません。

有効

より厳密な証明書検証を行うには、PKI プロファイルで CRL チェックを有効にします。この場合、NSX Advanced Load Balancer では、クライアントの信頼チェーン内のすべての中間証明書の CRL を PKI プロファイルに含める必要があります。

クライアントが証明書の検証に合格するには、プロファイルに信頼チェーン内の各中間 CA からの CRL が含まれている必要があり、証明書が取り消されたものとして CRL にリストされていてはなりません。プロファイルに中間 CA の CRL がない場合、またはこれらの CRL のいずれかで証明書が失効としてリストされている場合、仮想サービスへの SSL セッションに対するクライアントの要求は拒否されます。

注:

PKI プロファイルの別のオプション([ピア チェーンを無視])は、NSX Advanced Load Balancer がクライアントの信頼チェーンをどのように組み合わせて使用するか、特にクライアントによって提示される中間証明書の使用を許可するかどうかを制御します。フルチェーン CRL チェックが有効になっている場合、PKI プロファイルには、中間証明書がクライアントからのものか PKI プロファイルからのものかに関係なく、特定のクライアントの信頼チェーンを構築するために使用されるすべての証明書の署名 CA からの CRL が含まれている必要があります。

CRL チェックが有効になっている PKI プロファイルの例を次に示します。このプロファイルには、サーバ証明書の信頼チェーンを形成する中間証明書とルート証明書も含まれています。プロファイルには、サーバ証明書と中間証明書の発行元認証局からの CRL も含まれています。www.root.client.com CRL は、証明書 www.intermediate.client.com が有効かどうかを確認するために使用されます。同様に、www.intermediate.client.com CRL を使用して、「クライアント」(リーフ)証明書 www.client.client.com が有効かどうかを確認します。

フルチェーン CRL チェックを有効にする

フルチェーン CRL チェックを有効にする手順は次のとおりです。

  1. [テンプレート] > [セキュリティ] > [PKI プロファイル] の順に移動します。

  2. [作成] をクリックします。

  3. [CRL チェックを有効にする] を選択します。

  4. 新しいプロファイルを作成する場合は、名前を指定し、キー、証明書、CRL ファイルを追加します。信頼チェーン内の各中間 CA の CRL がプロファイルに含まれていることを確認します。

  5. [保存] をクリックします。