Vous pouvez modifier les propriétés du service d'API du cluster NSX Manager, telles que la version du protocole TLS, les suites de chiffrement, etc.

Les chiffrements pris en charge pour TLSv1.1 sont les suivants :
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
Les chiffrements pris en charge pour TLSv1.2 sont les suivants :
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Les chiffrements pris en charge pour TLSv1.3 sont les suivants :
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

La procédure suivante explique le workflow d'exécution des appels de service NSX API pour désactiver le protocole TLS 1.1 et pour activer ou désactiver les suites de chiffrement dans la configuration du service d'API.

Pour obtenir des informations détaillées sur le schéma d'API, l'exemple de demande, l'exemple de réponse et les messages d'erreur du service NSX API, vous devez lire le Guide de NSX API.

Procédure

  1. Exécutez l'API GET suivante pour lire la configuration du service NSX API :
    GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
    La réponse de l'API contient la liste des suites de chiffrement et des protocoles TLS.
  2. Désactivez le protocole TLS 1.1.
    1. Définissez TLSv1.1 sur enabled = false.
    2. Exécutez l'API PUT suivante pour envoyer les modifications au serveur NSX API :
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  3. Activez ou désactivez les suites de chiffrement.
    1. Définissez un ou plusieurs noms de chiffrement sur enabled = false ou sur enabled = true en fonction de vos besoins.
    2. Exécutez l'API PUT suivante pour envoyer les modifications au serveur NSX API :
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service

Résultats

Le service d'API sur chaque nœud NSX Manager redémarre après sa mise à jour à l'aide de l'API. Il peut y avoir un retard d'une minute maximum entre l'heure de fin de l'appel d'API et le moment où la nouvelle configuration est appliquée. Les modifications apportées à la configuration du service d'API sont appliquées à tous les nœuds du cluster NSX Manager.