免責事項：これは英文の記事「How to Enforce SSL Cipher Priority/Preference on the NSX Manager」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

TLS の厳格な準拠のために、セキュリティチームは、TLS ハンドシェイク中に優先される暗号スイートの順序をサーバーが指定することを要求することがよくあります (Nginx ディレクティブと同様ssl_prefer_server_ciphers on;)。

nginx.confNSX Managerでは、rootシェルを介してファイルを直接変更することは厳密にはサポートされていません。この記事では、公式にサポートされているREST APIを使用して暗号優先順位を適用する方法について説明します。

VMware NSX

VMwareは、セキュリティ上の理由から、TLSや暗号化方式に関しては常に業界標準に従うよう努めてきました。

NSX Manager は、API 構成配列で指定された暗号の優先順位を厳密にトップダウン方式で決定します。優先順位を変更するには、構成を取得し、配列を並べ替えて、再度プッシュする必要があります。

ステップ1：現在のAPIサービス構成を取得します

• GETリクエストを実行して、現在利用可能な暗号スイートの一覧を取得します。
• APIエンドポイント: GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
• JSON出力をテキストエディタに保存してください。

ステップ2：JSON配列を並べ替える

• JSONペイロードの中からcipher_suites配列を探してください。
• 優先順位を強制するには、配列内の暗号ブロックを手動で切り取って貼り付け、最も優先する暗号がリストの一番上に、最も優先しない暗号が一番下になるようにします。
• 使用したい暗号方式に対して「enabled」がtrueに設定されていることを確認してください。

ステップ3：新しい設定をプッシュする

• 並べ替えたJSONをペイロードとして使用して、PUTリクエストを実行します。
• APIエンドポイント: PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
• ヘッダー: Content-Type: application/json
• 注：変更を適用するため、APIサービスはクラスタ全体で自動的に再起動されます。その際、UIが一時的に切断される場合があります（最大60秒）。

優先順位付き配列の例：

"cipher_suites": [
    {
        "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
        "enabled": true
    },
    {
        "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
        "enabled": true
    }
]

参考KB記事：https://knowledge.broadcom.com/external/article/319144/disableenable-nsxt-manager-ciphers-or-tl.html