Vous pouvez activer ou désactiver l'extension EKU (Extended Key usage) et les contrôles de validation du point de distribution de la liste de révocation des certificats (CDP) que NSX effectue lors de l'importation d'un certificat.
Remarque : si vous disposez de certificats signés par une autorité de certification sans CDP, vous pouvez rencontrer des problèmes après la mise à niveau. Pour éviter ce problème, vous pouvez désactiver la vérification de la liste de révocation de certificats ou remplacer les certificats par des certificats qui incluent un CDP.
Pour définir les contrôles de validation, utilisez l'API suivante avec la charge utile. Pour plus d'informations sur l'API, reportez-vous au Guide de NSX API.
PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig
{
"crl_checking_enabled": false,
"ca_signed_only": false,
"eku_checking_enabled":false,
"resource_type":"SecurityGlobalConfig"
}
- crl_checking_enabled : activé par défaut pour vérifier le CDP spécifié dans le certificat signé par l'autorité de certification importé. La prise en charge inclut uniquement CRL-DP basé sur HTTP. Les options basées sur le fichier ou sur LDAP ne sont pas prises en charge.
- ca_signed_only désactivé par défaut. Il autorise uniquement les vérifications signées par l'autorité de certification.
-
eku_checking_enabled désactivé par défaut. Il vérifie l'extension EKU dans le certificat importé.
- revision : révision actuelle de la ressource qui doit être incluse dans une demande. Pour obtenir la valeur de ce paramètre, exécutez une opération GET.
