您可以启用或禁用在导入证书时 NSX 执行的扩展密钥用法 (Extended Key Usage, EKU) 扩展和证书吊销列表分发点 (Certificate Revocation List Distribution Point, CDP) 验证检查。

注意:如果您具有不含 CDP 的 CA 签名证书,则升级后可能会出现问题。要避免出现此问题,您可以关闭 CRL 检查或将证书替换为包含 CDP 的证书。

要设置验证检查,请将以下 API 与负载一起使用。有关该 API 的详细信息,请参见NSX API 指南

PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig
{
"crl_checking_enabled": false,
"ca_signed_only": false,
"eku_checking_enabled":false,
"resource_type":"SecurityGlobalConfig",
"revision": 0
}
其中:
  • crl_checking_enabled:默认启用以检查在导入的 CA 签名证书中指定的 CDP。仅支持基于 HTTP 的 CRL-DP。不支持基于文件或 LDAP 的选项。
  • ca_signed_only:默认禁用。它仅允许由 CA 签名的检查。
  • eku_checking_enabled:默认禁用。它检查导入的证书中的 EKU 扩展。

  • revision:请求中必须包含的资源的当前修订版本。要获取此参数的值,请运行 GET 操作。