您可以啟用或停用 NSX 在匯入憑證時執行的擴充金鑰使用方法 (EKU) 擴充功能和憑證撤銷清單發佈點 (CDP) 驗證檢查。

附註:如果您具有不含 CDP 的 CA 簽署憑證,則升級後可能會出現問題。若要避免出現此問題,您可以關閉 CRL 檢查或將憑證取代為包含 CDP 的憑證。

若要設定驗證檢查,將下列 API 與裝載搭配使用。如需有關 API 的詳細資訊,請參閱《NSX API 指南》

PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig
{
"crl_checking_enabled": false,
"ca_signed_only": false,
"eku_checking_enabled":false,
"resource_type":"SecurityGlobalConfig",
"revision": 0
}
其中:
  • crl_checking_enabled:依預設啟用以檢查在匯入的 CA 簽署憑證中指定的 CDP。僅支援包括 HTTP 型 CRL-DP。不支援檔案或 LDAP 型選項。
  • ca_signed_only:依預設為停用。僅允許由 CA 簽署的檢查。
  • eku_checking_enabled:依預設為停用。它會在已匯入的憑證中檢查是否有 EKU 擴充功能。

  • revision:必須包含在要求中之資源的目前修訂版本。若要取得此參數的值,請執行 GET 作業。