Actualizar la configuración del servicio de API del clúster de NSX Manager

Puede modificar las propiedades del servicio de API del clúster de NSX Manager, como la versión del protocolo TLS, los conjuntos de claves de cifrado, etc.

A partir de la versión 4.2, las claves de cifrado de TLS 1.1 están desactivadas de forma predeterminada, pero el usuario puede activarlas mediante el siguiente procedimiento. Las claves de cifrado admitidas con TLS 1.1 son:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA

Las claves de cifrado admitidas con TLS 1.2 son:

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

Las claves de cifrado admitidas con TLS 1.3 son:

TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
A partir de NSX 4.2, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

El siguiente procedimiento explica el flujo de trabajo de ejecución de las llamadas de servicio NSX API para activar el protocolo TLS 1.1 y activar o desactivar los conjuntos de claves de cifrado en la configuración del servicio de API. TLS 1.1 está desactivado de forma predeterminada. Puede utilizar el mismo procedimiento para desactivar otras versiones de TLS según sea necesario. Tenga en cuenta que NSX admite una versión mínima y máxima, por lo que no se admitiría TLS 1.1 y TLS 1.3 sin TLS 1.2. Por ejemplo, se admitiría TLS 1.1 y TLS 1.2, o TLS 1.2 y TLS 1.3.

Para obtener información detallada sobre el esquema de API, la solicitud de ejemplo, una respuesta de ejemplo y los mensajes de error del servicio NSX API, consulte la Guía de NSX API.

Procedimiento

Ejecute la siguiente API GET para ver la configuración del servicio NSX API:
GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
La respuesta de la API contiene la lista de conjuntos de claves de cifrado y protocolos TLS. Tenga en cuenta que la compatibilidad con TLS 1.0 no aparece en la lista.
```
curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service  "protocol_versions" : [ {
    "name" : "TLSv1.1",
    "enabled" : false
  }, {
    "name" : "TLSv1.2",
    "enabled" : true
  }, {
    "name" : "TLSv1.3",
    "enabled" : true
  } ],
```

curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service
{
  "global_api_concurrency_limit": 199,
  "client_api_rate_limit": 100,
  "client_api_concurrency_limit": 40,
  "connection_timeout": 30,
  "redirect_host": "",
  "cipher_suites": [
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_128_GCM_SHA256"}
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384}",
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA256"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_128_CBC_SHA256"},
    {"enabled": false, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA"},
    {"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}
    {"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}         
  ],
  "protocol_versions": [
    {"enabled": false, "name": "TLSv1.1"},
    {"enabled": true, "name": "TLSv1.2"}
    {"enabled": true, "name": "TLSv1.3"}]
}

Active o desactive el protocolo TLS 1.1.
1. Para activar una versión de TLS, establezca TLSv1.1 en enabled = true, por ejemplo. Para desactivar una versión de TLS, establezca la versión de TLS en enabled = false.
2. Ejecute la siguiente API PUT para enviar los cambios al servidor de NSX API:
  PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
Activar o desactivar los conjuntos de claves de cifrado.
1. Establezca uno o varios nombres de claves de cifrado para enabled = true o enabled = false, según sus requisitos.
2. Ejecute la siguiente API PUT para enviar los cambios al servidor de NSX API:
  PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
Compruebe que la activación se haya completado.

Resultados

El servicio de API en cada nodo de NSX Manager se reiniciará después de actualizarse mediante la API. Es posible que haya un retraso de hasta un minuto entre el momento en el que se completa la llamada de API y el momento en el que se aplica la nueva configuración. Los cambios en la configuración del servicio de API se aplican a todos los nodos del clúster de NSX Manager.