証明書のインポート時に NSX が実行する拡張キー使用法 (EKU) 拡張機能と証明書失効リスト配布ポイント (CDP) の検証チェックを有効または無効にできます。
注:CDP のない CA 署名付き証明書がある場合、アップグレード後に問題が発生する可能性があります。この問題を回避するには、CRL チェックをオフにするか、CDP を含む証明書で証明書を置き換えます。
検証チェックを設定するには、ペイロードで次の API を使用します。API の詳細については、『NSX API ガイド』を参照してください。
PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig { "crl_checking_enabled": false, "ca_signed_only": false, "eku_checking_enabled":false, "resource_type":"SecurityGlobalConfig", "revision": 0 }
ここで:
- crl_checking_enabled:デフォルトで有効になり、インポートされた CA 署名付き証明書で指定された CDP をチェックします。サポートには、HTTP ベースの CRL-DP のみが含まれます。ファイルまたは LDAP ベースのオプションはサポートされていません。
- ca_signed_only:デフォルトでは無効です。認証局 (CA) による署名のみのチェックを許可します。
-
eku_checking_enabled:デフォルトでは無効です。インポートされた証明書で EKU 拡張機能を確認します。
- revision:要求に含める必要があるリソースの現在のリビジョン。このパラメータの値を取得するには、GET 操作を発行します。