Puede consultar la información sobre el significado de los códigos de informe de conformidad en el informe de estado de conformidad.

https://docs-staging.vmware.com/en/draft/VMware-NSX/4.2/administration/GUID-32B9FB01-6376-40C0-B631-1F20B8FF7452.html?hWord=N4IghgNiBcICYFMwGMAuBLAbmVCAEAKgDIDKIAvkAPara obtener una lista completa de eventos, consulte el Catálogo de eventos de NSX.
Tabla 1. Códigos del informe de cumplimiento
Código Descripción Origen del estado de cumplimiento Corrección
72001 El cifrado está desactivado. Informa de este estado si una configuración de perfil de IPSec de VPN contiene los algoritmos de cifrado NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 o NO_ENCRYPTION_AUTH_AES_GMAC_256.

Este estado afecta a las configuraciones de sesión de VPN de IPSec que utilizan las configuraciones de no cumplimiento indicadas.

Agregue un perfil de IPSec de VPN que use algoritmos de cifrado en cumplimiento y utilícelo en todas las configuraciones de VPN. Consulte Agregar perfiles de IPSec.
72011 Los mensajes vecinos BGP omiten la comprobación de integridad. No se ha definido ninguna autenticación de mensajes. Informa de este estado si los vecinos de BGP no tienen ninguna contraseña configurada.

Este estado afecta a la configuración de vecinos BGP.

Configure una contraseña en el vecino de BGP y actualice la configuración de la puerta de enlace de nivel 0 para utilizar la contraseña. Consulte Configurar BGP.
72012 La comunicación con vecinos BGP utiliza una comprobación de integridad débil. MD5 se utiliza para la autenticación de mensajes. Informa de este estado si se utiliza la autenticación MD5 para la contraseña del vecino de BGP.

Este estado afecta a la configuración de vecinos BGP.

No hay ninguna corrección disponible, ya que NSX solo admite la autenticación MD5 para BGP.
72021 Se utilizó SSL 3 para establecer la conexión segura del socket. Se recomienda utilizar TLS 1.1 o una versión posterior, y desactivar SSL 3 por completo, ya que tiene vulnerabilidades de protocolo. Informa de este estado si la configuración de SSL versión 3 está en el perfil SSL del cliente del equilibrador de carga, el perfil SSL del servidor del equilibrador de carga o el monitor HTTPS del equilibrador de carga.
Este estado afecta a las siguientes configuraciones:
  • Grupos de equilibradores de carga que están asociados con monitores HTTPS.
  • Servidores virtuales de equilibrador de carga que están asociados con perfiles SSL del cliente del equilibrador de carga o perfiles SSL del servidor.
Configure un perfil SSL para que use TLS 1.1 o una versión posterior, y utilice este perfil en todas las configuraciones del equilibrador de carga. Consulte Agregar un perfil de SSL.
72022 Se utilizó TLS 1.0 utilizado para establecer la conexión segura del socket. Ejecute TLS 1.1 o versiones posteriores y desactive por completo TLS 1.0, ya que tiene vulnerabilidades de protocolo. Notifica este estado si el perfil SSL del cliente del equilibrador de carga, el perfil SSL del servidor del equilibrador de carga o el monitor HTTPS del equilibrador de carga incluyen la configuración de TLS 1.0.
Este estado afecta a las siguientes configuraciones:
  • Grupos de equilibradores de carga que están asociados con monitores HTTPS.
  • Servidores virtuales de equilibrador de carga que están asociados con perfiles SSL del cliente del equilibrador de carga o perfiles SSL del servidor.
Configure un perfil SSL para que use TLS 1.1 o una versión posterior, y utilice este perfil en todas las configuraciones del equilibrador de carga. Consulte Agregar un perfil de SSL.
72023 Se utiliza un grupo Diffie-Hellman débil. Notifica este error si una configuración de perfil de IPSec o IKE de VPN incluye los siguientes grupos Diffie-Hellman: 2, 5, 14, 15 o 16. Los grupos 2 y 5 son grupos Diffie-Hellman débiles. Los grupos 14, 15 y 16 no son grupos débiles, pero no son compatibles con FIPS.

Este estado afecta a las configuraciones de sesión de VPN de IPSec que utilizan las configuraciones de no cumplimiento indicadas.

Configure los perfiles de VPN para utilizar el grupo Diffie-Hellman 19, 20 o 21. Consulte Agregar perfiles.
72025 Quick Assist Technologies (QAT) que se ejecuta en el nodo de Edge no es compatible con FIPS. QAT es un conjunto de servicios acelerados por hardware proporcionados por Intel para criptografía y compresión. Para desactivar el uso de QAT, utilice la CLI de NSX. Para obtener más información, consulte "Compatibilidad de Intel QAT con la criptografía en masa de VPN de IPsec" en la Guía de instalación de NSX.
72026 El módulo FIPS Bouncy Castle no está listo. Compruebe que las aplicaciones se estén ejecutando y compruebe sus registros.
72200 No hay suficiente entropía real disponible. Informa de este estado si un generador de números pseudoaleatorios genera la entropía en lugar de depender de entropía generada por hardware.

El nodo de NSX Manager no utiliza el equilibrio de hardware generado por hardware porque no tiene la compatibilidad con aceleración de hardware necesaria para crear suficiente entropía real.

Utilice un hardware más reciente para ejecutar el nodo de NSX Manager. El hardware más reciente admite esta función.
Nota: Si la infraestructura subyacente es virtual, no se obtendrá una entropía real.
72201 Origen de entropía desconocido. Informa de este estado cuando no hay ningún estado de entropía disponible para el nodo indicado. Este es un error de comunicación interna que impide que evita que NSX Manager pueda determinar el origen de la entropía. Abra una solicitud de servicio con VMware.
72301 El certificado no está firmado por una entidad de certificación. Informa de este estado cuando uno de los certificados de NSX Manager no está firmado por una entidad de certificación. NSX Manager utiliza los siguientes certificados:
  • Certificado Syslog.
  • Certificados de API para los nodos de NSX Manager individuales.
  • Certificado de clúster utilizado para la VIP de NSX Manager.
Instale certificados firmados por una CA. Consulte Certificados.
72302 Al certificado le falta información de uso de clave extendida (EKU). Las extensiones EKU presentes en la CSR también deben estar presentes en los certificados del servidor. El valor de EKU tiene que coincidir con el uso previsto. Por ejemplo, SERVER cuando se conecta a un servidor y CLIENT cuando se utiliza como certificado de cliente en un servidor.
72303 El certificado se revocó. La validez del certificado se encuentra en estado terminal y no se puede recuperar.
72304 El certificado no es RSA. Asegúrese de que la clave pública del certificado sea para un certificado RSA.
72305 El certificado no es de curva elíptica. Informa de este estado cuando se produce un error de conformidad del certificado con EAL4+. Reemplace sus certificados no conformes por certificados firmados por una CA. Consulte Reemplazar certificados a través de API.
72306 Faltan restricciones básicas en el certificado. El certificado parece no ser válido para el propósito seleccionado o puede que le falten campos o valores necesarios.
72307 No se puede recuperar la CRL.
72308 La CRL no es válida. Compruebe la CRL para determinar por qué se marcó como no válida.
72309 Se desactivó la comprobación de caducidad del certificado de Corfu.
72310 Algunos administradores de equipos no tienen un certificado RSA y la longitud de la clave del certificado es inferior a 3072 bits. Cuando un administrador de equipos (por ejemplo, vCenter) está conectado a NSX Manager, pasa su certificado a NSX Manager. Si el certificado no es de tipo RSA, o si es de tipo RSA pero el tamaño de la clave RSA es inferior a 3072 bits, se producirá este error. Elimine el administrador de equipos de NSX Manager. Reemplace el certificado del administrador de equipos por un certificado RSA con un tamaño de clave de al menos 3072 bits.
72401 La inspección de TLS de puerta de enlace no es compatible con FIPS.
72402 El sistema no es compatible con FIPS.
72403 Presencia de identidad principal detectada en el sistema. Elimine todas las identidades principales para cumplir con EAL4.
72404 Presencia de endpoint de OIDC detectada en el sistema. Elimine todos los endpoints de OIDC para el cumplimiento de EAL4.
72501 Las contraseñas de usuario configuradas no cumplen los requisitos. Los usuarios deben utilizar contraseñas de alta calidad con una longitud de al menos 16 caracteres. Notifica cuándo las contraseñas de usuario no son conformes con EAL4+. La contraseña de los usuarios locales (excepto el usuario raíz) debe tener al menos 16 caracteres. En otras palabras, esto significa que la contraseña del usuario admin debe tener al menos 16 caracteres. Esto es adicional a la comprobación de complejidad que se exige al modificar la contraseña.
72502 No se pueden obtener usuarios sincronizados.
72503 Se detectó que el servicio SSH del dispositivo de Manager se encuentra en estado de ejecución.
72504 Se detectaron cuentas de usuario activas que no son de administrador. Cuando cualquier usuario que no sea administrador esté activo en NSX Manager. Desactive los demás usuarios que no sean administradores.
73000 Se produjo un error al recopilar los datos de conformidad de la plataforma.