È possibile modificare le proprietà del servizio API del cluster di NSX Manager, ad esempio la versione del protocollo TLS, i pacchetti di crittografia e così via.

Le crittografie supportate per TLSv1.1 sono:
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
Le crittografie supportate per TLSv1.2 sono:
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Le crittografie supportate per TLSv1.3 sono:
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

La procedura seguente illustra il workflow di esecuzione delle chiamate al servizio NSX API per disabilitare il protocollo TLS 1.1 e per abilitare o disabilitare i pacchetti di crittografia nella configurazione del servizio API.

Per informazioni dettagliate sullo schema dell'API, sulla richiesta di esempio, sulla risposta di esempio e sui messaggi di errore del servizio NSX API, è necessario leggere la Guida di NSX API.

Procedura

  1. Eseguire la seguente API GET per leggere la configurazione del servizio NSX API:
    GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
    La risposta dell'API contiene l'elenco dei pacchetti di crittografia e dei protocolli TLS.
  2. Disabilitare il protocollo TLS 1.1.
    1. Impostare TLSv1.1 su enabled = false.
    2. Eseguire la seguente API PUT per inviare le modifiche al server NSX API:
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  3. Abilitare o disabilitare i pacchetti di crittografia.
    1. Impostare uno o più nomi di crittografia su enabled = false o enabled = true a seconda delle proprie esigenze.
    2. Eseguire la seguente API PUT per inviare le modifiche al server NSX API:
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service

risultati

Il servizio API in ogni nodo NSX Manager viene riavviato dopo essere stato aggiornato utilizzando l'API. È possibile che si verifichi un ritardo fino a un minuto tra il completamento della chiamata API e quando entra in vigore la nuova configurazione. Le modifiche apportate alla configurazione del servizio API vengono applicate a tutti i nodi nel cluster di NSX Manager.