È possibile abilitare o disabilitare l'estensione Utilizzo chiave esteso (EKU) e i controlli di convalida del punto di distribuzione dell'elenco di revoca dei certificati (CDP) eseguiti da NSX durante l'importazione di un certificato.
Nota: se si dispone di certificati firmati dalla CA senza un CDP, è possibile che si verifichino problemi dopo l'aggiornamento. Per evitare questo problema, è possibile disattivare la verifica CRL o sostituire i certificati con certificati che includono un CDP.
Per impostare i controlli di convalida, utilizzare la seguente API con il payload. Per ulteriori informazioni sull'API, vedere Guida di NSX API.
PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig
{
"crl_checking_enabled": false,
"ca_signed_only": false,
"eku_checking_enabled":false,
"resource_type":"SecurityGlobalConfig"
}
- crl_checking_enabled: abilitato per impostazione predefinita per controllare il CDP specificata nel certificato firmato dalla CA importato. Il supporto include solo CRL-DP basato su HTTP. Le opzioni basate su file o LDAP non sono supportate.
- ca_signed_only: è disabilitato per impostazione predefinita. Consente i controlli firmati solo dall'autorità di certificazione.
-
eku_checking_enabled: è disabilitato per impostazione predefinita. Controllare l'estensione EKU nel certificato importato.
- revision: la revisione corrente della risorsa che deve essere inclusa in una richiesta. Per ottenere il valore di questo parametro. Eseguire un'operazione GET.
