您可以在合规性状态报告中查找有关合规性报告代码含义的信息。
| 有关事件的完整列表,请参见 NSX 事件目录。 |
| 代码 | 描述 | 合规性状态源 | 修复 |
|---|---|---|---|
| 72001 | 加密已停用。 | 如果 VPN IPSec 配置文件配置包含 NO_ENCRYPTION、NO_ENCRYPTION_AUTH_AES_GMAC_128、NO_ENCRYPTION_AUTH_AES_GMAC_192 或 NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms,则会报告此状态。此状态将影响使用所报告的不合规配置的 IPSec VPN 会话配置。 |
添加使用合规加密算法的 VPN IPSec 配置文件,并在所有 VPN 配置中使用该配置文件。请参见添加 IPSec 配置文件。 |
| 72011 | 包含邻居绕过完整性检查的 BGP 消息。未定义消息身份验证。 | 如果 BGP 邻居没有配置的密码,则会报告此状态。 此状态将影响 BGP 邻居配置。 |
在 BGP 邻居上配置密码,并更新 Tier-0 网关配置以使用该密码。请参见配置 BGP。 |
| 72012 | 与 BGP 邻居的通信使用弱完整性检查。使用 MD5 进行消息身份验证。 | 如果将 MD5 身份验证用于 BGP 邻居密码,则会报告此状态。 此状态将影响 BGP 邻居配置。 |
尚无可用的修复措施,因为 NSX 仅支持对 BGP 进行 MD5 身份验证。 |
| 72021 | 使用 SSL 版本 3 建立安全套接字连接。建议运行 TLS v1.1 或更高版本,并完全停用具有协议漏洞的 SSLv3。 | 如果 SSL 版本 3 配置位于负载均衡器客户端 SSL 配置文件、负载均衡器服务器 SSL 配置文件或负载均衡器 HTTPS 监控器中,则会报告此状态。
此状态将影响以下配置:
|
将 SSL 配置文件配置为使用 TLS v1.1 或更高版本,并在所有负载均衡器配置中使用此配置文件。请参见添加 SSL 配置文件。 |
| 72022 | 使用 TLS 版本 1.0 建立安全套接字连接。运行 TLS v1.1 或更高版本,并完全停用具有协议漏洞的 TLS v1.0。 | 如果负载均衡器客户端 SSL 配置文件、负载均衡器服务器 SSL 配置文件或负载均衡器 HTTPS 监控器包含 TLS v1.0 配置,则会报告此状态。
此状态将影响以下配置:
|
将 SSL 配置文件配置为使用 TLS V1.1 或更高版本,并在所有负载均衡器配置中使用此配置文件。请参见添加 SSL 配置文件。 |
| 72023 | 使用弱 Diffie-Hellman 组。 | 如果 VPN IPSec 配置文件或 VPN IKE 配置文件配置包含以下 Diffie-Hellman 组,则会报告此错误:2、5、14、15 或 16。组 2 和 5 是弱 Diffie-Hellman 组。组 14、15 和 16 不是弱组,但不符合 FIPS 标准。 此状态将影响使用所报告的不合规配置的 IPSec VPN 会话配置。 |
将 VPN 配置文件配置为使用 Diffie-Hellman 组 19、20 或 21。请参见添加配置文件。 |
| 72024 | 负载均衡器 FIPS 全局设置已停用。 | 如果负载均衡器 FIPS 全局设置已停用,则会报告此错误。 此状态将影响所有负载均衡器服务。 |
为负载均衡器启用 FIPS。请参见为负载均衡器配置全局 FIPS 合规性模式。 |
| 72025 | 在 Edge 节点上运行的 Quick Assist Technologies (QAT) 不兼容 FIPS。 | QAT 是 Intel 提供的一组硬件加速服务,用于加密和压缩。 | 要停止使用 QAT,请使用 NSX CLI。有关详细信息,请参见NSX 安装指南中的“对 IPSec VPN 批量加密的 Intel QAT 支持”。 |
| 72026 | Bouncy Castle FIPS 模块未准备就绪。 | 检查以确保应用程序正在运行,然后查看日志。 | |
| 72200 | 可用的真实熵不足。 | 如果使用伪随机数生成器生成熵,而不是依赖于硬件生成的熵,则会报告此状态。 NSX Manager 节点未使用硬件生成的熵,因为没有创建足够的真实熵所需的硬件加速支持。 |
使用较新的硬件运行 NSX Manager 节点。最新的硬件支持此功能。
注: 如果底层基础架构是虚拟的,那么您将无法获得真实熵。
|
| 72201 | 熵源未知。 | 如果指定的节点没有可用的熵状态,则会报告此状态。 | 此错误是一个内部通信错误,将会阻止 NSX Manager 确定熵源。使用 VMware 打开服务请求。 |
| 72301 | 证书为非 CA 签名证书。 | 如果其中一个 NSX Manager 证书为非 CA 签名证书,则会报告此状态。NSX Manager 使用以下证书:
|
安装 CA 签名证书。请参见证书。 |
| 72302 | 证书缺少扩展密钥用法 (EKU) 信息。 | CSR 中存在的 EKU 扩展也应当存在于服务器证书中。 | EKU 需要与预期用法匹配。例如,连接到服务器时为“服务器”,用作服务器上的客户端证书时为“客户端”。 |
| 72303 | 证书已吊销。 | 证书的有效性处于终止状态,无法恢复。 | |
| 72304 | 证书不是 RSA 证书。 | 确保您的证书公钥用于 RSA 证书。 | |
| 72305 | 证书不是椭圆曲线证书。 | 如果您的证书不符合 EAL4+,则会报告此状态。 | 将不合规证书替换为 CA 签名证书。请参见替换证书。 |
| 72306 | 证书缺少基本约束。 | 证书对于所选用途似乎无效,或者可能缺少必要的字段或值。 | |
| 72307 | 无法获取 CRL。 | ||
| 72308 | CRL 无效。 | 检查 CRL 以确定其被标记为无效的原因。 | |
| 72309 | Corfu 证书到期检查已停用。 | ||
| 72310 | 某些计算管理器没有 RSA 证书,或者证书密钥长度小于 3072 位。 | 当计算管理器(例如,vCenter)连接到 NSX Manager 时,它会将其证书传递给 NSX Manager。如果证书不是 RSA 类型,或者证书是 RSA 类型,但证书的 RSA 密钥大小小于 3072 位,则会触发此错误。 | 从 NSX Manager 中删除计算管理器。将计算管理器的证书替换为密钥大小至少为 3072 位的 RSA 证书。 |
| 72401 | 网关 TLS 检查不符合 FIPS 标准。 | ||
| 72402 | 系统不符合 FIPS 标准。 | ||
| 72403 | 在系统中检测到存在主体身份。请移除所有主体身份以实现 EAL4 合规性。 | ||
| 72404 | 在系统中检测到存在 OIDC 端点。请移除所有 OIDC 端点以实现 EAL4 合规性。 | ||
| 72501 | 配置的用户密码不合规。用户必须使用长度至少为 16 个字符的高质量密码。 | 如果用户密码不符合 EAL4+,则会报告此状态。 | 本地用户(root 用户除外)的密码必须至少为 16 个字符。换句话说,这意味着管理员用户密码必须至少为 16 个字符。这是对修改密码时所要求的密码复杂性检查的补充。 |
| 72502 | 无法获取已同步的用户。 | ||
| 72503 | 发现管理器设备的 SSH 服务处于运行状态。 | ||
| 72504 | 检测到非管理员活动用户帐户。 | 如果除管理员以外的任何用户在 NSX Manager 中处于活动状态,则会报告此状态。 | 停用除管理员以外的所有其他用户。 |
| 73000 | 收集平台合规性数据时出错。 |
