您可以啟用或停用 NSX 在匯入憑證時執行的擴充金鑰使用方法 (EKU) 擴充功能和憑證撤銷清單發佈點 (CDP) 驗證檢查。
附註:如果您具有不含 CDP 的 CA 簽署憑證,則升級後可能會出現問題。若要避免出現此問題,您可以關閉 CRL 檢查或將憑證取代為包含 CDP 的憑證。
若要設定驗證檢查,將下列 API 與裝載搭配使用。如需有關 API 的詳細資訊,請參閱《NSX API 指南》。
PUT https://<manager>/api/v1/global-configs/SecurityGlobalConfig { "crl_checking_enabled": false, "ca_signed_only": false, "eku_checking_enabled":false, "resource_type":"SecurityGlobalConfig", "revision": 0 }
其中:
- crl_checking_enabled:依預設啟用以檢查在匯入的 CA 簽署憑證中指定的 CDP。僅支援包括 HTTP 型 CRL-DP。不支援檔案或 LDAP 型選項。
- ca_signed_only:依預設為停用。僅允許由 CA 簽署的檢查。
-
eku_checking_enabled:依預設為停用。它會在已匯入的憑證中檢查是否有 EKU 擴充功能。
- revision:必須包含在要求中之資源的目前修訂版本。若要取得此參數的值,請執行 GET 作業。