Vous pouvez modifier les propriétés du service d'API du cluster NSX Manager, telles que la version du protocole TLS, les suites de chiffrement, etc.
À partir de la version 4.2, les chiffrements TLS 1.1 sont désactivés par défaut, mais l'utilisateur peut les activer à l'aide de la procédure suivante. Les chiffrements pris en charge pour TLS 1.1 sont les suivants :
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
Les chiffrements pris en charge pour TLS 1.2 sont les suivants :
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA256
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Les chiffrements pris en charge pour TLS 1.3 sont les suivants :
- TLS_AES_128_GCM_SHA256
- TLS_AES_256_GCM_SHA384
- TLS_CHACHA20_POLY1305_SHA256
- À partir de la version 4.2 de NSX, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
La procédure suivante explique le workflow d'exécution des appels de service NSX API pour activer le protocole TLS 1.1 et pour activer ou désactiver les suites de chiffrement dans la configuration du service d'API. TLS 1.1 est désactivé par défaut. Vous pouvez utiliser cette même procédure pour désactiver d'autres versions de TLS si nécessaire. Notez que NSX prend en charge une version minimale et une version maximale. Par conséquent, il n'est pas possible de prendre en charge TLS 1.1 et TLS 1.3, mais pas TLS 1.2. Par exemple, TLS 1.1 et TLS 1.2 ou TLS 1.2 et TLS 1.3 peuvent être pris en charge.
Pour obtenir des informations détaillées sur le schéma d'API, l'exemple de demande, l'exemple de réponse et les messages d'erreur du service NSX API, lisez le Guide de NSX API.
Procédure
- Exécutez l'API GET suivante pour lire la configuration du service NSX API :
GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
La réponse de l'API contient la liste des suites de chiffrement et des protocoles TLS. Notez que la prise en charge de TLS 1.0 n'est pas répertoriée.
curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service "protocol_versions" : [ {
"name" : "TLSv1.1",
"enabled" : false
}, {
"name" : "TLSv1.2",
"enabled" : true
}, {
"name" : "TLSv1.3",
"enabled" : true
} ],
-
curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service
{
"global_api_concurrency_limit": 199,
"client_api_rate_limit": 100,
"client_api_concurrency_limit": 40,
"connection_timeout": 30,
"redirect_host": "",
"cipher_suites": [
{"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"},
{"enabled": true, "name": "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"},
{"enabled": true, "name": "TLS_RSA_WITH_AES_256_GCM_SHA384"},
{"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"},
{"enabled": true, "name": "TLS_RSA_WITH_AES_128_GCM_SHA256"}
{"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384}",
{"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA256"},
{"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"},
{"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA"},
{"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256"},
{"enabled": true, "name": "TLS_RSA_WITH_AES_128_CBC_SHA256"},
{"enabled": false, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA"},
{"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}
{"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}
],
"protocol_versions": [
{"enabled": false, "name": "TLSv1.1"},
{"enabled": true, "name": "TLSv1.2"}
{"enabled": true, "name": "TLSv1.3"}]
}
- Activez ou désactivez le protocole TLS 1.1.
- Pour activer une version de TLS, définissez TLSv1.1 sur
enabled = true
, par exemple. Pour désactiver une version de TLS, définissez votre version de TLS sur enabled = false
.
- Exécutez l'API PUT suivante pour envoyer les modifications au serveur NSX API :
PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
- Activez ou désactivez les suites de chiffrement.
- Définissez un ou plusieurs noms de chiffrement sur
enabled = true
ou sur enabled = false
en fonction de vos besoins.
- Exécutez l'API PUT suivante pour envoyer les modifications au serveur NSX API :
PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
- Vérifiez que l'activation est terminée.
Résultats
Le service d'API sur chaque nœud NSX Manager redémarre après sa mise à jour à l'aide de l'API. Il peut y avoir un retard d'une minute maximum entre l'heure de fin de l'appel d'API et le moment où la nouvelle configuration est appliquée. Les modifications apportées à la configuration du service d'API sont appliquées à tous les nœuds du cluster NSX Manager.