Vous trouverez les informations sur la signification des codes de rapport de conformité dans le rapport d'état de conformité.

https://docs-staging.vmware.com/en/draft/VMware-NSX/4.2/administration/GUID-32B9FB01-6376-40C0-B631-1F20B8FF7452.html?hWord=N4IghgNiBcICYFMwGMAuBLAbmVCAEAKgDIDKIAvkAPour obtenir la liste complète des événements, reportez-vous au Catalogue d'événements NSX.
Tableau 1. Codes de rapport de conformité
Code Description Source de l'état de conformité Correction
72001 Le chiffrement est désactivé. Signale cet état si une configuration de profil VPN IPSec contient les algorithmes de chiffrement NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 ou NO_ENCRYPTION_AUTH_AES_GMAC_256.

Cet état affecte les configurations de session IPSec VPN qui utilisent les configurations non conformes signalées.

Ajoutez un profil VPN IPSec qui utilise des algorithmes de chiffrement conformes et utilisez le profil dans toutes les configurations VPN. Reportez-vous à la section Ajouter des profils IPSec.
72011 Messages BGP avec contrôle d'intégrité de contournement du voisin. Aucune authentification de message définie. Signale cet état si les voisins BGP n'ont pas de mot de passe configuré.

Cet état affecte la configuration du voisin BGP.

Configurez un mot de passe sur le voisin BGP et mettez à jour la configuration de la passerelle de niveau 0 pour utiliser le mot de passe. Reportez-vous à la section Configurer BGP.
72012 La communication avec le voisin BGP utilise un contrôle d'intégrité faible. MD5 est utilisé pour l'authentification des messages. Signale cet état si l'authentification MD5 est utilisée pour le mot de passe du voisin BGP.

Cet état affecte la configuration du voisin BGP.

Aucune correction disponible, car NSX ne prend en charge que l'authentification MD5 pour BGP.
72021 SSL version 3 utilisé pour établir une connexion de socket sécurisée. Il est recommandé d'exécuter TLS v 1.1 ou version ultérieure et de désactiver entièrement SSLv3 ayant des faiblesses de protocole. Signale cet état si la configuration de SSL version 3 est dans le profil SSL du client de l'équilibreur de charge, le profil SSL du serveur d'équilibreur de charge ou le moniteur HTTPS de l'équilibreur de charge.
Cet état affecte les configurations suivantes :
  • Pools d'équilibreur de charge associés aux moniteurs HTTPS.
  • Serveurs virtuels d'équilibreur de charge associés à des profils SSL de client d'équilibreur de charge ou des profils SSL de serveur.
Configurez un profil SSL pour utiliser TLS v1.1 ou version ultérieure et utilisez ce profil dans toutes les configurations d'équilibreur de charge. Reportez-vous à la section Ajouter un profil SSL.
72022 TLS version 1.0 est utilisé pour établir une connexion de socket sécurisée. Exécutez TLSv 1.1 ou version ultérieure et désactivez complètement TLSv 1.0 ayant des faiblesses de protocole. Signale cet état si le profil SSL du client d'équilibreur de charge, le profil SSL du serveur d'équilibreur de charge ou le moniteur HTTPS de l'équilibreur de charge inclut la configuration TLS v1.0.
Cet état affecte les configurations suivantes :
  • Pools d'équilibreur de charge associés aux moniteurs HTTPS.
  • Serveurs virtuels d'équilibreur de charge associés à des profils SSL de client d'équilibreur de charge ou des profils SSL de serveur.
Configurez un profil SSL pour utiliser TLS v1.1 ou version ultérieure et utilisez ce profil dans toutes les configurations d'équilibreur de charge. Reportez-vous à la section Ajouter un profil SSL.
72023 Un groupe Diffie-Hellman faible est utilisé. Signale cette erreur si un profil VPN IPSec ou une configuration de profil VPN IKE inclut les groupes Diffie-Hellman suivants : 2, 5, 14, 15 ou 16. Les groupes 2 et 5 sont des groupes Diffie-Hellman faibles. Les groupes 14, 15 et 16 ne sont pas des groupes faibles, mais ils ne sont pas compatibles avec FIPS.

Cet état affecte les configurations de session IPSec VPN qui utilisent les configurations non conformes signalées.

Configurez les profils VPN pour utiliser le groupe Diffie-Hellman 19, 20 ou 21. Reportez-vous à la section Ajout de profils.
72025 L'exécution de QAT (Quick Assist Technologies) sur le nœud Edge n'est pas conforme à FIPS. QAT est un ensemble de services à accélération matérielle fournis par Intel pour la cryptographie et la compression. Pour désactiver l'utilisation de QAT, utilisez l'interface de ligne de commande NSX. Pour plus d'informations, reportez-vous à la section « Prise en charge d'Intel QAT pour la cryptographie en masse de VPN IPSec » dans le Guide d'installation de NSX.
72026 Le module FIPS Bouncy-castle n'est pas prêt. Vérifiez que vos applications sont en cours d'exécution et vérifiez vos journaux.
72200 Entropie réelle insuffisante disponible. Signale cet état si un générateur de nombres pseudo aléatoires génère l'entropie plutôt que de se fier à l'entropie générée par le matériel.

Le nœud NSX Manager n'utilise pas l'entropie générée par le matériel, car il ne dispose pas de la prise en charge de l'accélération matérielle requise pour créer suffisamment d'entropie réelle.

Utilisez un matériel plus récent pour exécuter le nœud NSX Manager. La plupart des matériels récents prennent en charge cette fonctionnalité.
Note : Si l'infrastructure sous-jacente est virtuelle, vous n'obtiendrez pas d'entropie réelle.
72201 Source d'entropie inconnue. Signale cet état lorsqu'aucun état d'entropie n'est disponible pour le nœud indiqué. Il s'agit d'une erreur de communication interne empêchant NSX Manager de déterminer la source de l'entropie. Ouvrez une demande de service avec VMware.
72301 Le certificat n'est pas signé par une autorité de certification. Signale cet état lorsque l'un des certificats NSX Manager n'est pas signé par une autorité de certification. NSX Manager utilise les certificats suivants .
  • Certificat Syslog.
  • Certificats API pour les nœuds NSX Manager individuels.
  • Certificat de cluster utilisé pour NSX Manager VIP.
Installez des certificats signés par une autorité de certification. Consultez Certificats.
72302 Il manque des informations sur l'utilisation de la clé étendue dans le certificat. Les extensions EKU présentes dans CSR doivent également être présentes dans les certificats de serveur. EKU doit correspondre à l'utilisation prévue. Par exemple, SERVEUR lors de la connexion à un serveur, CLIENT lorsqu'il est utilisé comme certificat client sur un serveur.
72303 Le certificat a été révoqué. La validité du certificat est dans un état terminal et ne peut pas être récupérée.
72304 Le certificat n'est pas RSA. Assurez-vous que votre clé publique de certificat est destinée à un certificat RSA.
72305 Le certificat n'est pas une courbe elliptique. Signale cet état lorsque votre certificat échoue à la conformité EAL4+. Remplacez vos certificats non confirmes avec des certificats signés par une autorité de certification. Reportez-vous à la section Remplacer les certificats via l'API.
72306 Le certificat ne contient pas de contraintes de base. Le certificat ne semble pas être valide pour l'objectif sélectionné ou peut manquer de champs/valeurs nécessaires.
72307 Impossible d'extraire la CRL.
72308 La CRL n'est pas valide. Vérifiez la liste de révocation des certificats pour déterminer la raison pour laquelle elle a été marquée comme non valide.
72309 La vérification d'expiration du certificat Corfu a été désactivée.
72310 Certains gestionnaires de calcul ne disposent pas de certificat RSA ou la longueur de la clé du certificat est inférieure à 3 072 bits. Lorsqu'un gestionnaire de calcul (par exemple, vCenter) est connecté à NSX Manager, il transmet son certificat à NSX Manager. Si le certificat n'est pas de type RSA , mais que la taille de clé RSA du certificat est inférieure à 3 072 bits, cette erreur se déclenche. Supprimez l'enregistrement du gestionnaire de calcul dans NSX Manager. Remplacez le certificat du gestionnaire de calcul par un certificat RSA dont la taille de clé est d'au moins 3 072 bits.
72401 L'inspection TLS de passerelle n'est pas conforme à FIPS.
72402 Système non conforme à FIPS.
72403 Présence d'identité de principal détectée dans le système. Supprimez toutes les identités de principal pour la conformité EAL4.
72404 Présence de point de terminaison OIDC détectée dans le système. Supprimez tous les points de terminaison OIDC pour la conformité EAL4.
72501 Les mots de passe utilisateur configurés ne sont pas conformes. Les utilisateurs doivent utiliser des mots de passe de haute qualité d'au moins 16 caractères. Signale lorsque les mots de passe d'utilisateur échouent à la conformité EAL4+. Le mot de passe des utilisateurs locaux (à l'exception de l'utilisateur racine) doit comporter au moins 16 caractères. En d'autres termes, cela signifie que le mot de passe de l'utilisateur Admin doit comporter au moins 16 caractères. Il s'agit d'un ajout à la vérification de la complexité du mot de passe qui est requise lors de la modification du mot de passe.
72502 Impossible d'obtenir les utilisateurs synchronisés.
72503 L'état du service SSH pour le dispositif Manager s'est avéré en cours d'exécution.
72504 Comptes d'utilisateurs actifs non-administrateur détectés. Un utilisateur autre qu'administrateur est actif dans NSX Manager. Désactivez tous les autres utilisateurs qu'admin.
73000 Une erreur s'est produite lors de la collecte des données de conformité de la plate-forme.