Sie können die EKU(Extended Key Usage)-Erweiterung und die CDP(Certificate Revocation List Distribution Point)-Validierungsprüfungen aktivieren oder deaktivieren, die NSX-T Data Center beim Importieren eines Zertifikats durchführt.

Hinweis: Wenn Sie von einer Zertifizierungsstelle signierte Zertifikate ohne CDP haben, treten nach dem Upgrade möglicherweise Probleme auf. Um dieses Problem zu vermeiden, können Sie die CRL-Prüfung deaktivieren oder die Zertifikate durch andere mit CDP ersetzen.

Um Validierungsprüfungen festzulegen, verwenden Sie die folgende API mit Nutzlast. Informationen zur API finden Sie im Handbuch für die NSX-T Data Center-API.

PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig
{
"crl_checking_enabled": false,
"ca_signed_only": false,
"eku_checking_enabled":false,
"resource_type":"SecurityGlobalConfig",
"revision": 0
}
Dabei gilt:
  • crl_checking_enabled: Standardmäßig aktiviert, um den im importierten von einer Zertifizierungsstelle signierten Zertifikat angegebenen CDP zu überprüfen. Die Unterstützung umfasst nur den HTTP-basierten CRL-DP. Datei- oder LDAP-basierte Optionen werden nicht unterstützt.
  • ca_signed_only: Standardmäßig deaktiviert. Mit dieser Option sind nur von einer Zertifizierungsstelle signierte Überprüfungen zulässig.
  • eku_checking_enabled: Standardmäßig deaktiviert. Mit dieser Option wird geprüft, ob im importierten Zertifikat eine EKU-Erweiterung vorhanden ist.

  • revision: Die aktuelle Revision der Ressource, die in eine Anforderung aufgenommen werden muss. Zum Abrufen des Werts dieses Parameters führen Sie einen GET-Vorgang aus.