Puede consultar la información sobre el significado de los códigos de informe de conformidad en el informe de estado de conformidad.
| Para obtener una lista completa de eventos, consulte el Catálogo de eventos de NSX. |
| Código | Descripción | Origen del estado de cumplimiento | Corrección |
|---|---|---|---|
| 72001 | El cifrado está desactivado. | Informa de este estado si una configuración de perfil de IPSec de VPN contiene los algoritmos de cifrado NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 o NO_ENCRYPTION_AUTH_AES_GMAC_256.Este estado afecta a las configuraciones de sesión de VPN de IPSec que utilizan las configuraciones de no cumplimiento indicadas. |
Agregue un perfil de IPSec de VPN que use algoritmos de cifrado en cumplimiento y utilícelo en todas las configuraciones de VPN. Consulte Agregar perfiles de IPSec. |
| 72011 | Los mensajes vecinos BGP omiten la comprobación de integridad. No se ha definido ninguna autenticación de mensajes. | Informa de este estado si los vecinos de BGP no tienen ninguna contraseña configurada. Este estado afecta a la configuración de vecinos BGP. |
Configure una contraseña en el vecino de BGP y actualice la configuración de la puerta de enlace de nivel 0 para utilizar la contraseña. Consulte Configurar BGP. |
| 72012 | La comunicación con vecinos BGP utiliza una comprobación de integridad débil. MD5 se utiliza para la autenticación de mensajes. | Informa de este estado si se utiliza la autenticación MD5 para la contraseña del vecino de BGP. Este estado afecta a la configuración de vecinos BGP. |
No hay ninguna corrección disponible, ya que NSX solo admite la autenticación MD5 para BGP. |
| 72021 | Se utilizó SSL 3 para establecer la conexión segura del socket. Se recomienda utilizar TLS 1.1 o una versión posterior, y desactivar SSL 3 por completo, ya que tiene vulnerabilidades de protocolo. | Informa de este estado si la configuración de SSL versión 3 está en el perfil SSL del cliente del equilibrador de carga, el perfil SSL del servidor del equilibrador de carga o el monitor HTTPS del equilibrador de carga.
Este estado afecta a las siguientes configuraciones:
|
Configure un perfil SSL para que use TLS 1.1 o una versión posterior, y utilice este perfil en todas las configuraciones del equilibrador de carga. Consulte Agregar un perfil de SSL. |
| 72022 | Se utilizó TLS 1.0 utilizado para establecer la conexión segura del socket. Ejecute TLS 1.1 o versiones posteriores y desactive por completo TLS 1.0, ya que tiene vulnerabilidades de protocolo. | Notifica este estado si el perfil SSL del cliente del equilibrador de carga, el perfil SSL del servidor del equilibrador de carga o el monitor HTTPS del equilibrador de carga incluyen la configuración de TLS 1.0.
Este estado afecta a las siguientes configuraciones:
|
Configure un perfil SSL para que use TLS 1.1 o una versión posterior, y utilice este perfil en todas las configuraciones del equilibrador de carga. Consulte Agregar un perfil de SSL. |
| 72023 | Se utiliza un grupo Diffie-Hellman débil. | Notifica este error si una configuración de perfil de IPSec o IKE de VPN incluye los siguientes grupos Diffie-Hellman: 2, 5, 14, 15 o 16. Los grupos 2 y 5 son grupos Diffie-Hellman débiles. Los grupos 14, 15 y 16 no son grupos débiles, pero no son compatibles con FIPS. Este estado afecta a las configuraciones de sesión de VPN de IPSec que utilizan las configuraciones de no cumplimiento indicadas. |
Configure los perfiles de VPN para utilizar el grupo Diffie-Hellman 19, 20 o 21. Consulte Agregar perfiles. |
| 72024 | La configuración global de FIPS del equilibrador de carga está desactivada. | Notifica este error si la configuración global de FIPS del equilibrador de carga está desactivada. Este estado afecta a todos los servicios del equilibrador de carga. |
Habilite FIPS para el equilibrador de carga. Consulte Configurar el modo de cumplimiento global de FIPS para el equilibrador de carga. |
| 72025 | Quick Assist Technologies (QAT) que se ejecuta en el nodo de Edge no es compatible con FIPS. | QAT es un conjunto de servicios acelerados por hardware proporcionados por Intel para criptografía y compresión. | Para desactivar el uso de QAT, utilice la CLI de NSX. Para obtener más información, consulte "Compatibilidad de Intel QAT con la criptografía en masa de VPN de IPsec" en la Guía de instalación de NSX. |
| 72026 | El módulo FIPS Bouncy Castle no está listo. | Compruebe que las aplicaciones se estén ejecutando y compruebe sus registros. | |
| 72200 | No hay suficiente entropía real disponible. | Informa de este estado si un generador de números pseudoaleatorios genera la entropía en lugar de depender de entropía generada por hardware. El nodo de NSX Manager no utiliza el equilibrio de hardware generado por hardware porque no tiene la compatibilidad con aceleración de hardware necesaria para crear suficiente entropía real. |
Utilice un hardware más reciente para ejecutar el nodo de NSX Manager. El hardware más reciente admite esta función.
Nota: Si la infraestructura subyacente es virtual, no se obtendrá una entropía real.
|
| 72201 | Origen de entropía desconocido. | Informa de este estado cuando no hay ningún estado de entropía disponible para el nodo indicado. | Este es un error de comunicación interna que impide que evita que NSX Manager pueda determinar el origen de la entropía. Abra una solicitud de servicio con VMware. |
| 72301 | El certificado no está firmado por una entidad de certificación. | Informa de este estado cuando uno de los certificados de NSX Manager no está firmado por una entidad de certificación. NSX Manager utiliza los siguientes certificados:
|
Instale certificados firmados por una CA. Consulte Certificados. |
| 72302 | Al certificado le falta información de uso de clave extendida (EKU). | Las extensiones EKU presentes en la CSR también deben estar presentes en los certificados del servidor. | El valor de EKU tiene que coincidir con el uso previsto. Por ejemplo, SERVER cuando se conecta a un servidor y CLIENT cuando se utiliza como certificado de cliente en un servidor. |
| 72303 | El certificado se revocó. | La validez del certificado se encuentra en estado terminal y no se puede recuperar. | |
| 72304 | El certificado no es RSA. | Asegúrese de que la clave pública del certificado sea para un certificado RSA. | |
| 72305 | El certificado no es de curva elíptica. | Informa de este estado cuando se produce un error de conformidad del certificado con EAL4+. | Reemplace sus certificados no conformes por certificados firmados por una CA. Consulte Reemplazar certificados. |
| 72306 | Faltan restricciones básicas en el certificado. | El certificado parece no ser válido para el propósito seleccionado o puede que le falten campos o valores necesarios. | |
| 72307 | No se puede recuperar la CRL. | ||
| 72308 | La CRL no es válida. | Compruebe la CRL para determinar por qué se marcó como no válida. | |
| 72309 | Se desactivó la comprobación de caducidad del certificado de Corfu. | ||
| 72310 | Algunos administradores de equipos no tienen un certificado RSA y la longitud de la clave del certificado es inferior a 3072 bits. | Cuando un administrador de equipos (por ejemplo, vCenter) está conectado a NSX Manager, pasa su certificado a NSX Manager. Si el certificado no es de tipo RSA, o si es de tipo RSA pero el tamaño de la clave RSA es inferior a 3072 bits, se producirá este error. | Elimine el administrador de equipos de NSX Manager. Reemplace el certificado del administrador de equipos por un certificado RSA con un tamaño de clave de al menos 3072 bits. |
| 72401 | La inspección de TLS de puerta de enlace no es compatible con FIPS. | ||
| 72402 | El sistema no es compatible con FIPS. | ||
| 72403 | Presencia de identidad principal detectada en el sistema. Elimine todas las identidades principales para cumplir con EAL4. | ||
| 72404 | Presencia de endpoint de OIDC detectada en el sistema. Elimine todos los endpoints de OIDC para el cumplimiento de EAL4. | ||
| 72501 | Las contraseñas de usuario configuradas no cumplen los requisitos. Los usuarios deben utilizar contraseñas de alta calidad con una longitud de al menos 16 caracteres. | Notifica cuándo las contraseñas de usuario no son conformes con EAL4+. | La contraseña de los usuarios locales (excepto el usuario raíz) debe tener al menos 16 caracteres. En otras palabras, esto significa que la contraseña del usuario admin debe tener al menos 16 caracteres. Esto es adicional a la comprobación de complejidad que se exige al modificar la contraseña. |
| 72502 | No se pueden obtener usuarios sincronizados. | ||
| 72503 | Se detectó que el servicio SSH del dispositivo de Manager se encuentra en estado de ejecución. | ||
| 72504 | Se detectaron cuentas de usuario activas que no son de administrador. | Cuando cualquier usuario que no sea administrador esté activo en NSX Manager. | Desactive los demás usuarios que no sean administradores. |
| 73000 | Se produjo un error al recopilar los datos de conformidad de la plataforma. |
