您可以启用或禁用在导入证书时 NSX 执行的扩展密钥用法 (Extended Key Usage, EKU) 扩展和证书吊销列表分发点 (Certificate Revocation List Distribution Point, CDP) 验证检查。
注意:如果您具有不含 CDP 的 CA 签名证书,则升级后可能会出现问题。要避免出现此问题,您可以关闭 CRL 检查或将证书替换为包含 CDP 的证书。
要设置验证检查,请将以下 API 与负载一起使用。有关该 API 的详细信息,请参见NSX API 指南。
PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig { "crl_checking_enabled": false, "ca_signed_only": false, "eku_checking_enabled":false, "resource_type":"SecurityGlobalConfig", "revision": 0 }
其中:
- crl_checking_enabled:默认启用以检查在导入的 CA 签名证书中指定的 CDP。仅支持基于 HTTP 的 CRL-DP。不支持基于文件或 LDAP 的选项。
- ca_signed_only:默认禁用。它仅允许由 CA 签名的检查。
-
eku_checking_enabled:默认禁用。它检查导入的证书中的 EKU 扩展。
- revision:请求中必须包含的资源的当前修订版本。要获取此参数的值,请运行 GET 操作。