免責事項：これは英文の記事「How to Enforce SSL Cipher Priority/Preference on the NSX Manager(435082)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

厳格な TLS コンプライアンスに対応するため、セキュリティチームでは多くの場合、TLS ハンドシェイク時にサーバー側で優先する cipher suite の順序を指定することが求められます（Nginx directive の ssl_prefer_server_ciphers on; と同様）。

root shell から nginx.conf file を直接変更することは、NSX Manager では厳密にサポート対象外です。本記事では、公式にサポートされている REST API を使用して cipher priority を適用する方法について説明します。

VMware NSX

VMware では、セキュリティ目的の TLS および encryption cipher について、常に業界標準に準拠するよう努めています。

• GET request を実行して、現在の cipher suite の一覧を取得します。
• API Endpoint: GET https://<NSX-Manager-IP>/api/v1/cluster/api-service
• JSON output をテキストエディターに保存します。

• JSON payload 内の cipher_suites 配列を探します。
• 優先設定を適用するには、配列内の cipher block を手動で切り取り、貼り付けて並べ替え、最も優先したい cipher が list の一番上に、最も優先度の低い cipher が一番下になるようにします。
• 使用する cipher については、"enabled": true が設定されていることを確認します。

• 新しく並べ替えた JSON を payload として使用し、PUT request を実行します。
• API Endpoint: PUT https://<NSX-Manager-IP>/api/v1/cluster/api-service
• Header: Content-Type: application/json
• Note: 変更を適用するため、API service はクラスター全体で自動的に 再起動されます。一時的に UI が切断される場合があります（最大 60 秒）。

優先順位を設定した例:

"cipher_suites": [
    {
        "name": "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384",
        "enabled": true
    },
    {
        "name": "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256",
        "enabled": true
    }
]

参照KB: Disable/Enable NSX-T Manager Ciphers or TLS Settings