È possibile abilitare o disabilitare l'estensione Utilizzo chiave esteso (EKU) e i controlli di convalida del punto di distribuzione dell'elenco di revoca dei certificati (CDP) eseguiti da NSX durante l'importazione di un certificato.

Nota: se si dispone di certificati firmati dalla CA senza un CDP, è possibile che si verifichino problemi dopo l'aggiornamento. Per evitare questo problema, è possibile disattivare la verifica CRL o sostituire i certificati con certificati che includono un CDP.

Per impostare i controlli di convalida, utilizzare la seguente API con il payload. Per ulteriori informazioni sull'API, vedere Guida di NSX API.

PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig
{
"crl_checking_enabled": false,
"ca_signed_only": false,
"eku_checking_enabled":false,
"resource_type":"SecurityGlobalConfig",
"revision": 0
}
Dove:
  • crl_checking_enabled: abilitato per impostazione predefinita per controllare il CDP specificata nel certificato firmato dalla CA importato. Il supporto include solo CRL-DP basato su HTTP. Le opzioni basate su file o LDAP non sono supportate.
  • ca_signed_only: è disabilitato per impostazione predefinita. Consente i controlli firmati solo dall'autorità di certificazione.
  • eku_checking_enabled: è disabilitato per impostazione predefinita. Controllare l'estensione EKU nel certificato importato.

  • revision: la revisione corrente della risorsa che deve essere inclusa in una richiesta. Per ottenere il valore di questo parametro. Eseguire un'operazione GET.