Sie können die EKU(Extended Key Usage)-Erweiterung und die CDP(Certificate Revocation List Distribution Point)-Validierungsprüfungen aktivieren oder deaktivieren, die NSX beim Importieren eines Zertifikats durchführt.
Hinweis: Wenn Sie von einer Zertifizierungsstelle signierte Zertifikate ohne CDP haben, treten nach dem Upgrade möglicherweise Probleme auf. Um dieses Problem zu vermeiden, können Sie die CRL-Prüfung deaktivieren oder die Zertifikate durch andere mit CDP ersetzen.
Um Validierungsprüfungen festzulegen, verwenden Sie die folgende API mit Nutzlast. Informationen zur API finden Sie im Handbuch zu NSX-API.
PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig { "crl_checking_enabled": false, "ca_signed_only": false, "eku_checking_enabled":false, "resource_type":"SecurityGlobalConfig", "revision": 0 }
- crl_checking_enabled: Standardmäßig aktiviert, um den im importierten von einer Zertifizierungsstelle signierten Zertifikat angegebenen CDP zu überprüfen. Die Unterstützung umfasst nur den HTTP-basierten CRL-DP. Datei- oder LDAP-basierte Optionen werden nicht unterstützt.
- ca_signed_only: Standardmäßig deaktiviert. Mit dieser Option sind nur von einer Zertifizierungsstelle signierte Überprüfungen zulässig.
-
eku_checking_enabled: Standardmäßig deaktiviert. Mit dieser Option wird geprüft, ob im importierten Zertifikat eine EKU-Erweiterung vorhanden ist.
- revision: Die aktuelle Revision der Ressource, die in eine Anforderung aufgenommen werden muss. Zum Abrufen des Werts dieses Parameters führen Sie einen GET-Vorgang aus.