証明書の検証のクラスタ プロパティ

以下のクラスタ プロパティは、有効期限の確認のために「証明書の検証の管理」タスクに使用する環境を設定します。
gateway92
以下のクラスタ プロパティは、有効期限の確認のために「証明書の検証の管理」タスクに使用する環境を設定します。
時間関連プロパティに使用できる有効な時間単位のリストについては、「クラスタ プロパティ」の「時間単位」を参照してください。
プロパティ
説明
pkix.crl.cacheExpiryAge
LDAP および HTTP キャッシュの両方に対して、証明書失効リスト(CRL)によって使用される有効期間。値は時間単位です。
デフォルト:
5m
pkix.crl.defaultExpiryAge
証明書失効リスト(CRL)の有効期間が指定されていない場合の有効期間。有効期限経過時間には、リストが更新されます。値は時間単位です。
デフォルト:
1h
pkix.crl.maxExpiryAge
証明書失効リスト(CRL)の最大有効期間。CRL の有効期間がこのクラスタ プロパティによって定義された値より大きい場合は、この値が使用されます。値は時間単位です。
デフォルト:
7d
pkix.crl.maxSize
証明書失効リスト(CRL)の最大サイズ。「0」(ゼロ)の値は、サイズの制限がないことを示します。
デフォルト:
1048576
pkix.crl.minExpiryAge
証明書失効リスト(CRL)の最小有効期間。CRL の有効期間がこのクラスタ プロパティによって定義された値より小さい場合は、この値が使用されます。値は時間単位です。
デフォルト:
1h
この最小有効期間が使用される場合、
Layer7 API Gateway
が「古い」 CRL を使用している可能性があります。
pkix.crl.invalidateCrlCacheOnNextUpdate
CRL に埋め込まれている次回の更新時刻に証明書失効リストを無効にします。値はブール値です。
デフォルト:
false
pkix.crl.skipSerialNumberCheckForRevocationCheck
CRL エラーを回避するために、信頼できるストア内の同一証明書のシリアル番号の比較をスキップします。値はブール値です。
デフォルト:
false
pkix.crl.validateCrlBeforeCacheUpdate
キャッシュを更新する前に発行者キーで CRL を検証するには、このプロパティを
true
に設定します。値はブール値です。
デフォルト:
false
pkix.csr.defaultExpiryAge
CSR サーバでの証明書の有効期間。設定された有効期間のない内部ユーザ、または LDAP ユーザに対して発行された証明書に対して使用されます。
デフォルト:
730
(日)
pkix.keyUsage
X.509 キーの使用方法を制御します。値は以下のとおりです。
  • IGNORE:
    指定された用途以外の証明書を受理して使用します。
  • ENFORCE
    : 証明書のプロパティの
    [Details]
    タブの[Key usage]および[Ext. key usage]セクションで指定されている用途にのみ証明書を使用します。詳細については、「証明書の管理」の「証明書の有効期限の通知」を参照してください。証明書にクリティカルとしてマークされているキーの使用方法または拡張されたキーの使用方法が含まれていない場合、証明書はすべての使用方法が有効なものとして処理されます(「IGNORE」設定と同じ)。
デフォルト:
ENFORCE
変更を有効にするには、
Layer7 API Gateway
を再起動する必要があります。
pkix.keyUsagePolicy
キーの使用方法のデフォルト ポリシーをオーバーライドします。キーの使用方法の適用ポリシーを定義する長い XML 文字列。詳細については、「キーの使用方法の適用ポリシー」の「認識されているアクション名」を参照してください。
デフォルト: <空白> (システム デフォルト ポリシーが使用されます)
pkix.ocsp.defaultExpiryAge
オンライン証明書ステータス プロトコル(OCSP)レスポンスのキャッシュ時間。これは、OCSP レスポンスを破棄して新しいものを取得するまでに、個別の証明書の検証の試行に対してシステムが OCSP レスポンスを保持する期間を指定します。値は時間単位です。
デフォルト:
1m
(OCSP レスポンスにそれ自体の有効期間が含まれていない場合に使用)
pkix.ocsp.maxExpiryAge
キャッシュされた OSCP レスポンスの最大有効期間。OCSP レスポンスの有効期間がこのクラスタ プロパティによって定義された値より大きい場合に使用されます。値は時間単位です。
デフォルト:
15m
pkix.ocsp.minExpiryAge
キャッシュされた OCSP レスポンスの最小有効期限。OCSP レスポンスの有効期間がこのクラスタ プロパティによって定義された値より小さい場合に使用されます。値は時間単位です。
デフォルト:
1s
pkix.ocsp.useNonce
リプレイ アタックに対して保護する OCSP リクエストにノンスを含めるかどうかを制御します。値はブール値です。
デフォルト:
true
OCSP チェック サーバで Nonce がサポートされていない場合、このプロパティを「false」に設定してください。Nonce がサポートされていることを確認するには、OCSP リクエストと応答の拡張機能セクション内の「id-pkix-ocsp-nonce」フィールドを探します。
pkix.permittedCriticalExtensions
証明書の検証時に使用される拡張。値はスペースで区切られたエンティティ ID のリストです。
デフォルト: <空白>
pkix.validation.identityProvider
アイデンティティ プロバイダの証明書の検証方法。このプロパティは、[Manage Certificate Validation]を使用して設定することもできます。
  • validate
    = 証明書が有効であり信頼できることを検証します。
  • validatepath
    = 証明書のパスがトラスト アンカーに対して有効であることを検証します。
  • revocation
    = 証明書のパスを検証し、失効確認ポリシーを使用して失効確認を行います。
デフォルト:
validate
pkix.validation.other
アイデンティティ プロバイダおよびルーティングを除く、すべての証明書の検証方法。このプロパティは、[Manage Certificate Validation]を使用して設定することもできます。各設定の説明については、上記の「
pkix.validation.identityProvider
」を参照してください。
デフォルト:
validate
pkix.validation.routing
ルーティング(HTTPS、FTPS など)用にサーバによって使用される証明書の検証方法。このプロパティは、[Manage Certificate Validation]を使用して設定することもできます。各設定の説明については、上記の「
pkix.validation.identityProvider
」を参照してください。
デフォルト:
validate
services.
certificateDiscoveryEnabled
この
Layer7 API Gateway
にリクエストを
Layer7 API Gateway
- XML VPN クライアントによって、この Gateway にリクエストが送信されます。値はブール値です。
  • true
    = 証明書の自動検出は有効です。ユーザによる操作は必要ありません。
  • false
    = 証明書の自動検出は無効です。この場合、以下を実行する必要があります。
    • アプリケーションとして実行されている XML VPN Client
      Layer7 API Gateway
      - XML VPN Client が初めてサーバ証明書の信頼を試行する場合は、確認ダイアログ ボックスが表示され、明示的に証明書を許可するか、拒否する必要があります。
    • サービスとして実行されている XML VPN Client
      : 以下のいずれかの方法を使用して、XML VPN Client にサーバ証明書を手動で設定する必要があります。
      • サーバ証明書が確立されている場合は、Gatewayコマンドの「discover」を使用してサーバ証明書を手動で信頼できます。
      • サーバ証明書が確立されていない場合は、 Gatewayコマンドの「import」を使用して、手動でサーバ証明書をインポートする必要があります。
デフォルト:
true
関連する
admin.certificateDiscoveryEnabled
クラスタ プロパティも参照してください。
ポートでサーバ証明書の検出が機能するよう、「Policy download service」が有効になっている必要があります。
trustedCert.expiryCheckPeriod
信頼済みの証明書の有効期間の確認を待つ時間。値は時間単位です。詳細については、「証明書の管理」の「証明書の有効期限の通知」を参照してください。
デフォルト:
12h
trustedCert.expiryFineAge
信頼済みの証明書に対して、Gateway が FINE 監査イベントをログに記録するまでの時間。値は時間単位です。
デフォルト:
30d
trustedCert.expiryInfoAge
信頼済みの証明書に対して、Gateway が INFO 監査イベントをログに記録するまでの時間。値は時間単位です。
デフォルト:
7d
trustedCert.expiryWarningAge
信頼済みの証明書に対して、Gateway が WARNING 監査イベントをログに記録するまでの時間。値は時間単位です。
デフォルト:
2d