証明書のインポート時に NSX-T Data Center が実行する拡張キー使用法 (EKU) 拡張機能と証明書失効リスト配布ポイント (CDP) の検証チェックを有効または無効にできます。

注:CDP のない CA 署名付き証明書がある場合、アップグレード後に問題が発生する可能性があります。この問題を回避するには、CRL チェックをオフにするか、CDP を含む証明書で証明書を置き換えます。

検証チェックを設定するには、ペイロードで次の API を使用します。API の詳細については、『NSX-T Data Center API ガイド』を参照してください。

PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig
{
"crl_checking_enabled": false,
"ca_signed_only": false,
"eku_checking_enabled":false,
"resource_type":"SecurityGlobalConfig",
"revision": 0
}
ここで:
  • crl_checking_enabled:デフォルトで有効になり、インポートされた CA 署名付き証明書で指定された CDP をチェックします。サポートには、HTTP ベースの CRL-DP のみが含まれます。ファイルまたは LDAP ベースのオプションはサポートされていません。
  • ca_signed_only:デフォルトでは無効です。認証局 (CA) による署名のみのチェックを許可します。
  • eku_checking_enabled:デフォルトでは無効です。インポートされた証明書で EKU 拡張機能を確認します。

  • revision:要求に含める必要があるリソースの現在のリビジョン。このパラメータの値を取得するには、GET 操作を発行します。