Sie können die API-Diensteigenschaften des NSX Manager-Clusters bearbeiten, z. B. die TLS-Protokollversion, Verschlüsselungs-Suites usw.

Folgende Verschlüsselungen werden für TLSv1.1 unterstützt:
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
Folgende Verschlüsselungen werden für TLSv1.2 unterstützt:
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Folgende Verschlüsselungen werden für TLSv1.3 unterstützt:
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

Das folgende Verfahren erläutert den Workflow zum Ausführen von NSX API-Dienstaufrufen zum Deaktivieren des TLS 1.1-Protokolls und zum Aktivieren oder Deaktivieren der Verschlüsselungs-Suites in der API-Dienstkonfiguration.

Detaillierte Informationen zum API-Schema, eine Beispielanforderung, eine Beispielantwort und Fehlermeldungen des NSX API-Dienstes finden Sie im Handbuch zu NSX-API.

Prozedur

  1. Führen Sie die folgende GET API-Anforderung aus, um die Konfiguration des NSX API-Dienstes zu lesen:
    GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
    Die API-Antwort enthält die Liste der Verschlüsselungs-Suites und TLS-Protokolle.
  2. Deaktivieren Sie das TLS 1.1-Protokoll.
    1. Legen Sie TLSv1.1 auf enabled = false fest.
    2. Führen Sie die folgende PUT API-Anforderung aus, um die Änderungen an den NSX API-Server zu senden:
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  3. Aktivieren oder deaktivieren Sie die Verschlüsselungs-Suites.
    1. Legen Sie, je nach Ihren Anforderungen, für einen oder mehrere Verschlüsselungen enabled = false oder enabled = true fest.
    2. Führen Sie die folgende PUT API-Anforderung aus, um die Änderungen an den NSX API-Server zu senden:
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service

Ergebnisse

Der API-Dienst auf den einzelnen NSX Manager-Knoten wird neu gestartet, nachdem er über die API aktualisiert wurde. Vom Abschluss des API-Aufrufs bis zum Inkrafttreten der neuen Konfiguration kann bis zu einer Minute vergehen. Die Änderungen der API-Dienstkonfiguration werden auf alle Knoten im NSX Manager-Cluster angewendet.