TLS プロトコルのバージョン、暗号スイートなど、NSX Manager クラスタの API サービスのプロパティを変更できます。

4.2 以降では、TLS 1.1 暗号はデフォルトで無効になっていますが、次の手順を使用してユーザーが有効にできます。TLS 1.1 でサポートされている暗号は次のとおりです。
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA
TLS 1.2 でサポートされている暗号は次のとおりです。
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS 1.3 でサポートされている暗号は次のとおりです。
  • TLS_AES_128_GCM_SHA256
  • TLS_AES_256_GCM_SHA384
  • TLS_CHACHA20_POLY1305_SHA256
  • NSX 4.2 以降では、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

ここでは、NSX API サービス呼び出しを実行して TLS 1.1 プロトコルを有効にし、API サービス構成の暗号スイートを有効または無効にするワークフローについて説明します。TLS 1.1 はデフォルトで無効になっています。この同じ手順を使用して、必要に応じて他の TLS バージョンを無効にできます。NSX は最小バージョンと最大バージョンをサポートしているため、TLS 1.1 と TLS 1.3 はサポートされますが、TLS 1.2 はサポートされません。たとえば、TLS 1.1 および TLS 1.2、または TLS 1.2 および TLS 1.3 をサポートできます。

API スキーマ、要求の例、応答の例、NSX API サービスのエラー メッセージの詳細については、『NSX API ガイド』を参照してください。

手順

  1. 次の GET API を実行して、NSX API サービスの構成を確認します。
    GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
    API 応答には、暗号スイートと TLS プロトコルのリストが含まれています。TLS 1.0 のサポートは表示されないことに注意してください。 
    curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service  "protocol_versions" : [ {
    "name" : "TLSv1.1",
    "enabled" : false
  }, {
    "name" : "TLSv1.2",
    "enabled" : true
  }, {
    "name" : "TLSv1.3",
    "enabled" : true
  } ],

  2. curl -u admin:${PASSWORD} -i -k https://$IP/api/v1/cluster/api-service
{
  "global_api_concurrency_limit": 199,
  "client_api_rate_limit": 100,
  "client_api_concurrency_limit": 40,
  "connection_timeout": 30,
  "redirect_host": "",
  "cipher_suites": [
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_GCM_SHA384"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_128_GCM_SHA256"}
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384}",
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA256"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_256_CBC_SHA"},
    {"enabled": true, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256"},
    {"enabled": true, "name": "TLS_RSA_WITH_AES_128_CBC_SHA256"},
    {"enabled": false, "name": "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA"},
    {"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}
    {"enabled": false, "name": "TLS_RSA_WITH_AES_128_CBC_SHA"}         
  ],
  "protocol_versions": [
    {"enabled": false, "name": "TLSv1.1"},
    {"enabled": true, "name": "TLSv1.2"}
    {"enabled": true, "name": "TLSv1.3"}]
}
  3. TLS 1.1 プロトコルを有効または無効にします。
    1. TLS バージョンを有効にするには、たとえば TLSv1.1enabled = true に設定します。TLS バージョンを無効にするには、TLS バージョンを enabled = false に設定します。
    2. 次の PUT API を実行して、NSX API サーバに変更を送信します。
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  4. 暗号スイートを有効または無効にします。
    1. 要件に応じて、1 つ以上の暗号名を enabled = true または enabled = false に設定します。
    2. 次の PUT API を実行して、NSX API サーバに変更を送信します。
      PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
  5. 有効化が完了していることを確認します。

結果

API で更新されると、各 NSX Manager ノードの API サービスが再起動します。API 呼び出しが完了してから新しい構成が有効になるまで、最大で 1 分ほどの遅延が生じる場合があります。API サービス構成の変更は、NSX Manager クラスタ内のすべてのノードに適用されます。