PKI プロファイル設定について、以下で説明します。
[名前]:プロファイルの一意の名前。
[ピア チェーンを無視]:このオプションはデフォルトで無効になっています。無効になっている場合、証明書はフルチェーンを提示する必要があります。これは、クライアントまたはサーバから提示された証明書からターミナル ルート証明書まで経由して検証されます。このオプションが有効になっている場合、NSX Advanced Load Balancer はピア/クライアントが提示している証明書チェーンを無視します。代わりに、PKI プロファイルの認証局セクションで構成されたルート証明書と中間証明書を使用して、クライアントの証明書の信頼性が検証されます。各中間証明書を検証し、PKI プロファイルに含まれる CA 証明書と照合する必要があります。
[Host ヘッダー チェック]:このオプションを有効にすると、DNS を使用して解決された仮想サービスの仮想 IP アドレス フィールドは、バックエンド SSL が有効の状態でサーバから NSX Advanced Load Balancer に提示された証明書のドメイン名フィールドに一致します。サーバの証明書が一致しない場合、サーバは安全でないと見なされ、「停止」とマークされます。
[CRL チェックを有効にする]:このオプションを選択すると、クライアントの証明書が証明書失効リストに対して検証されます。
詳細については、「PKI アプリケーション プロファイルの作成」を参照してください。