Puede modificar las propiedades del servicio de API del clúster de NSX Manager, como la versión del protocolo TLS, los conjuntos de claves de cifrado, etc.

A partir de la versión 4.2, las claves de cifrado de TLS 1.1 están desactivadas de forma predeterminada, pero el usuario puede activarlas mediante el siguiente procedimiento. Las claves de cifrado admitidas con TLS 1.1 son:
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
Las claves de cifrado admitidas con TLS 1.2 son:
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Las claves de cifrado admitidas con TLS 1.3 son:
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • A partir de NSX 4.2, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

El siguiente procedimiento explica el flujo de trabajo de ejecución de las llamadas de servicio NSX API para activar el protocolo TLS 1.1 y activar o desactivar los conjuntos de claves de cifrado en la configuración del servicio de API. TLS 1.1 está desactivado de forma predeterminada. Puede utilizar el mismo procedimiento para desactivar otras versiones de TLS según sea necesario. Tenga en cuenta que NSX admite una versión mínima y máxima, por lo que no se admitiría TLS 1.1 y TLS 1.3 sin TLS 1.2. Por ejemplo, se admitiría TLS 1.1 y TLS 1.2, o TLS 1.2 y TLS 1.3.

Para obtener información detallada sobre el esquema de API, la solicitud de ejemplo, una respuesta de ejemplo y los mensajes de error del servicio NSX API, consulte la Guía de NSX API.

Procedimiento

  1. Ejecute la siguiente API GET para ver la configuración del servicio NSX API:
    GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
    La respuesta de la API contiene la lista de conjuntos de claves de cifrado y protocolos TLS. Tenga en cuenta que la compatibilidad con TLS 1.0 no aparece en la lista.
    curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service  "protocol_versions" : [ {
        "name" : "TLSv1.1",
        "enabled" : false
      }, {
        "name" : "TLSv1.2",
        "enabled" : true
      }, {
        "name" : "TLSv1.3",
        "enabled" : true
      } ],

  2. curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service
    {
      "global_api_concurrency_limit": 199,
      "client_api_rate_limit": 100,
      "client_api_concurrency_limit": 40,
      "connection_timeout": 30,
      "redirect_host": "",
      "cipher_suites": [
        {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"},
        {"enabled": true, "name": "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"},
        {"enabled": true, "name": "TLS_RSA_WITH_AES_256_GCM_SHA384"},
        {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"},
        {"enabled": true, "name": "TLS_RSA_WITH_AES_128_GCM_SHA256"}
        {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384}",
        {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA256"},
        {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"},
        {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA"},
        {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256"},
        {"enabled": true, "name": "TLS_RSA_WITH_AES_128_CBC_SHA256"},
        {"enabled": false, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA"},
        {"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}
        {"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}         
      ],
      "protocol_versions": [
        {"enabled": false, "name": "TLSv1.1"},
        {"enabled": true, "name": "TLSv1.2"}
        {"enabled": true, "name": "TLSv1.3"}]
    }
  3. Active o desactive el protocolo TLS 1.1.
    1. Para activar una versión de TLS, establezca TLSv1.1 en enabled = true, por ejemplo. Para desactivar una versión de TLS, establezca la versión de TLS en enabled = false.
    2. Ejecute la siguiente API PUT para enviar los cambios al servidor de NSX API:
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  4. Activar o desactivar los conjuntos de claves de cifrado.
    1. Establezca uno o varios nombres de claves de cifrado para enabled = true o enabled = false, según sus requisitos.
    2. Ejecute la siguiente API PUT para enviar los cambios al servidor de NSX API:
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  5. Compruebe que la activación se haya completado.

Resultados

El servicio de API en cada nodo de NSX Manager se reiniciará después de actualizarse mediante la API. Es posible que haya un retraso de hasta un minuto entre el momento en el que se completa la llamada de API y el momento en el que se aplica la nueva configuración. Los cambios en la configuración del servicio de API se aplican a todos los nodos del clúster de NSX Manager.