TLS プロトコルのバージョン、暗号スイートなど、NSX Manager クラスタの API サービスのプロパティを変更できます。

TLSv1.1 でサポートされている暗号は次のとおりです。
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
TLSv1.2 でサポートされている暗号は次のとおりです。
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLSv1.3 でサポートされている暗号は次のとおりです。
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256

ここでは、NSX API サービス呼び出しを実行して TLS 1.1 プロトコルを無効にし、API サービス構成の暗号スイートを有効または無効にするワークフローについて説明します。

API スキーマ、要求の例、応答の例、NSX API サービスのエラー メッセージの詳細については、『NSX API ガイド』を参照してください。

手順

  1. 次の GET API を実行して、NSX API サービスの構成を確認します。
    GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
    API 応答には、暗号スイートと TLS プロトコルのリストが含まれています。
  2. TLS 1.1 プロトコルを無効にします。
    1. TLSv1.1enabled = false に設定します。
    2. 次の PUT API を実行して、NSX API サーバに変更を送信します。
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  3. 暗号スイートを有効または無効にします。
    1. 要件に応じて、1 つ以上の暗号名を enabled = false または enabled = true に設定します。
    2. 次の PUT API を実行して、NSX API サーバに変更を送信します。
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service

結果

API で更新されると、各 NSX Manager ノードの API サービスが再起動します。API 呼び出しが完了してから新しい構成が有効になるまで、最大で 1 分ほどの遅延が生じる場合があります。API サービス構成の変更は、NSX Manager クラスタ内のすべてのノードに適用されます。