您可以在合规性状态报告中查找有关合规性报告代码含义的信息。

https://docs-staging.vmware.com/en/draft/VMware-NSX/4.2/administration/GUID-32B9FB01-6376-40C0-B631-1F20B8FF7452.html?hWord=N4IghgNiBcICYFMwGMAuBLAbmVCAEAKgDIDKIAvkA有关事件的完整列表,请参见 NSX 事件目录
表 1. 合规性报告代码
代码 描述 合规性状态源 修复
72001 加密已停用。 如果 VPN IPSec 配置文件配置包含 NO_ENCRYPTIONNO_ENCRYPTION_AUTH_AES_GMAC_128NO_ENCRYPTION_AUTH_AES_GMAC_192NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms,则会报告此状态。

此状态将影响使用所报告的不合规配置的 IPSec VPN 会话配置。

添加使用合规加密算法的 VPN IPSec 配置文件,并在所有 VPN 配置中使用该配置文件。请参见添加 IPSec 配置文件
72011 包含邻居绕过完整性检查的 BGP 消息。未定义消息身份验证。 如果 BGP 邻居没有配置的密码,则会报告此状态。

此状态将影响 BGP 邻居配置。

在 BGP 邻居上配置密码,并更新 Tier-0 网关配置以使用该密码。请参见配置 BGP
72012 与 BGP 邻居的通信使用弱完整性检查。使用 MD5 进行消息身份验证。 如果将 MD5 身份验证用于 BGP 邻居密码,则会报告此状态。

此状态将影响 BGP 邻居配置。

尚无可用的修复措施,因为 NSX 仅支持对 BGP 进行 MD5 身份验证。
72021 使用 SSL 版本 3 建立安全套接字连接。建议运行 TLS v1.1 或更高版本,并完全停用具有协议漏洞的 SSLv3。 如果 SSL 版本 3 配置位于负载均衡器客户端 SSL 配置文件、负载均衡器服务器 SSL 配置文件或负载均衡器 HTTPS 监控器中,则会报告此状态。
此状态将影响以下配置:
  • 与 HTTPS 监控器关联的负载均衡器池。
  • 与负载均衡器客户端 SSL 配置文件或服务器 SSL 配置文件关联的负载均衡器虚拟服务器。
将 SSL 配置文件配置为使用 TLS v1.1 或更高版本,并在所有负载均衡器配置中使用此配置文件。请参见添加 SSL 配置文件
72022 使用 TLS 版本 1.0 建立安全套接字连接。运行 TLS v1.1 或更高版本,并完全停用具有协议漏洞的 TLS v1.0。 如果负载均衡器客户端 SSL 配置文件、负载均衡器服务器 SSL 配置文件或负载均衡器 HTTPS 监控器包含 TLS v1.0 配置,则会报告此状态。
此状态将影响以下配置:
  • 与 HTTPS 监控器关联的负载均衡器池。
  • 与负载均衡器客户端 SSL 配置文件或服务器 SSL 配置文件关联的负载均衡器虚拟服务器。
将 SSL 配置文件配置为使用 TLS V1.1 或更高版本,并在所有负载均衡器配置中使用此配置文件。请参见添加 SSL 配置文件
72023 使用弱 Diffie-Hellman 组。 如果 VPN IPSec 配置文件或 VPN IKE 配置文件配置包含以下 Diffie-Hellman 组,则会报告此错误:2、5、14、15 或 16。组 2 和 5 是弱 Diffie-Hellman 组。组 14、15 和 16 不是弱组,但不符合 FIPS 标准。

此状态将影响使用所报告的不合规配置的 IPSec VPN 会话配置。

将 VPN 配置文件配置为使用 Diffie-Hellman 组 19、20 或 21。请参见添加配置文件
72025 在 Edge 节点上运行的 Quick Assist Technologies (QAT) 不兼容 FIPS。 QAT 是 Intel 提供的一组硬件加速服务,用于加密和压缩。 要停止使用 QAT,请使用 NSX CLI。有关详细信息,请参见NSX 安装指南中的“对 IPSec VPN 批量加密的 Intel QAT 支持”。
72026 Bouncy Castle FIPS 模块未准备就绪。 检查以确保应用程序正在运行,然后查看日志。
72200 可用的真实熵不足。 如果使用伪随机数生成器生成熵,而不是依赖于硬件生成的熵,则会报告此状态。

NSX Manager 节点未使用硬件生成的熵,因为没有创建足够的真实熵所需的硬件加速支持。

使用较新的硬件运行 NSX Manager 节点。最新的硬件支持此功能。
注: 如果底层基础架构是虚拟的,那么您将无法获得真实熵。
72201 熵源未知。 如果指定的节点没有可用的熵状态,则会报告此状态。 此错误是一个内部通信错误,将会阻止 NSX Manager 确定熵源。使用 VMware 打开服务请求。
72301 证书为非 CA 签名证书。 如果其中一个 NSX Manager 证书为非 CA 签名证书,则会报告此状态。NSX Manager 使用以下证书:
  • Syslog 证书。
  • API 证书(用于各个 NSX Manager 节点)。
  • 集群证书(用于 NSX Manager VIP)。
安装 CA 签名证书。请参见证书
72302 证书缺少扩展密钥用法 (EKU) 信息。 CSR 中存在的 EKU 扩展也应当存在于服务器证书中。 EKU 需要与预期用法匹配。例如,连接到服务器时为“服务器”,用作服务器上的客户端证书时为“客户端”。
72303 证书已吊销。 证书的有效性处于终止状态,无法恢复。
72304 证书不是 RSA 证书。 确保您的证书公钥用于 RSA 证书。
72305 证书不是椭圆曲线证书。 如果您的证书不符合 EAL4+,则会报告此状态。 将不合规证书替换为 CA 签名证书。请参见通过 API 替换证书
72306 证书缺少基本约束。 证书对于所选用途似乎无效,或者可能缺少必要的字段或值。
72307 无法获取 CRL。
72308 CRL 无效。 检查 CRL 以确定其被标记为无效的原因。
72309 Corfu 证书到期检查已停用。
72310 某些计算管理器没有 RSA 证书,或者证书密钥长度小于 3072 位。 当计算管理器(例如,vCenter)连接到 NSX Manager 时,它会将其证书传递给 NSX Manager。如果证书不是 RSA 类型,或者证书是 RSA 类型,但证书的 RSA 密钥大小小于 3072 位,则会触发此错误。 NSX Manager 中删除计算管理器。将计算管理器的证书替换为密钥大小至少为 3072 位的 RSA 证书。
72401 网关 TLS 检查不符合 FIPS 标准。
72402 系统不符合 FIPS 标准。
72403 在系统中检测到存在主体身份。请移除所有主体身份以实现 EAL4 合规性。
72404 在系统中检测到存在 OIDC 端点。请移除所有 OIDC 端点以实现 EAL4 合规性。
72501 配置的用户密码不合规。用户必须使用长度至少为 16 个字符的高质量密码。 如果用户密码不符合 EAL4+,则会报告此状态。 本地用户(root 用户除外)的密码必须至少为 16 个字符。换句话说,这意味着管理员用户密码必须至少为 16 个字符。这是对修改密码时所要求的密码复杂性检查的补充。
72502 无法获取已同步的用户。
72503 发现管理器设备的 SSH 服务处于运行状态。
72504 检测到非管理员活动用户帐户。 如果除管理员以外的任何用户在 NSX Manager 中处于活动状态,则会报告此状态。 停用除管理员以外的所有其他用户。
73000 收集平台合规性数据时出错。