Vous trouverez les informations sur la signification des codes de rapport de conformité dans le rapport d'état de conformité.
| https://docs-staging.vmware.com/en/draft/VMware-NSX/4.2/administration/GUID-32B9FB01-6376-40C0-B631-1F20B8FF7452.html?hWord=N4IghgNiBcICYFMwGMAuBLAbmVCAEAKgDIDKIAvkAPour obtenir la liste complète des événements, reportez-vous au Catalogue d'événements NSX. |
| Code | Description | Source de l'état de conformité | Correction |
|---|---|---|---|
| 72001 | Le chiffrement est désactivé. | Signale cet état si une configuration de profil VPN IPSec contient les algorithmes de chiffrement NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 ou NO_ENCRYPTION_AUTH_AES_GMAC_256.Cet état affecte les configurations de session IPSec VPN qui utilisent les configurations non conformes signalées. |
Ajoutez un profil VPN IPSec qui utilise des algorithmes de chiffrement conformes et utilisez le profil dans toutes les configurations VPN. Reportez-vous à la section Ajouter des profils IPSec. |
| 72011 | Messages BGP avec contrôle d'intégrité de contournement du voisin. Aucune authentification de message définie. | Signale cet état si les voisins BGP n'ont pas de mot de passe configuré. Cet état affecte la configuration du voisin BGP. |
Configurez un mot de passe sur le voisin BGP et mettez à jour la configuration de la passerelle de niveau 0 pour utiliser le mot de passe. Reportez-vous à la section Configurer BGP. |
| 72012 | La communication avec le voisin BGP utilise un contrôle d'intégrité faible. MD5 est utilisé pour l'authentification des messages. | Signale cet état si l'authentification MD5 est utilisée pour le mot de passe du voisin BGP. Cet état affecte la configuration du voisin BGP. |
Aucune correction disponible, car NSX ne prend en charge que l'authentification MD5 pour BGP. |
| 72021 | SSL version 3 utilisé pour établir une connexion de socket sécurisée. Il est recommandé d'exécuter TLS v 1.1 ou version ultérieure et de désactiver entièrement SSLv3 ayant des faiblesses de protocole. | Signale cet état si la configuration de SSL version 3 est dans le profil SSL du client de l'équilibreur de charge, le profil SSL du serveur d'équilibreur de charge ou le moniteur HTTPS de l'équilibreur de charge.
Cet état affecte les configurations suivantes :
|
Configurez un profil SSL pour utiliser TLS v1.1 ou version ultérieure et utilisez ce profil dans toutes les configurations d'équilibreur de charge. Reportez-vous à la section Ajouter un profil SSL. |
| 72022 | TLS version 1.0 est utilisé pour établir une connexion de socket sécurisée. Exécutez TLSv 1.1 ou version ultérieure et désactivez complètement TLSv 1.0 ayant des faiblesses de protocole. | Signale cet état si le profil SSL du client d'équilibreur de charge, le profil SSL du serveur d'équilibreur de charge ou le moniteur HTTPS de l'équilibreur de charge inclut la configuration TLS v1.0.
Cet état affecte les configurations suivantes :
|
Configurez un profil SSL pour utiliser TLS v1.1 ou version ultérieure et utilisez ce profil dans toutes les configurations d'équilibreur de charge. Reportez-vous à la section Ajouter un profil SSL. |
| 72023 | Un groupe Diffie-Hellman faible est utilisé. | Signale cette erreur si un profil VPN IPSec ou une configuration de profil VPN IKE inclut les groupes Diffie-Hellman suivants : 2, 5, 14, 15 ou 16. Les groupes 2 et 5 sont des groupes Diffie-Hellman faibles. Les groupes 14, 15 et 16 ne sont pas des groupes faibles, mais ils ne sont pas compatibles avec FIPS. Cet état affecte les configurations de session IPSec VPN qui utilisent les configurations non conformes signalées. |
Configurez les profils VPN pour utiliser le groupe Diffie-Hellman 19, 20 ou 21. Reportez-vous à la section Ajout de profils. |
| 72025 | L'exécution de QAT (Quick Assist Technologies) sur le nœud Edge n'est pas conforme à FIPS. | QAT est un ensemble de services à accélération matérielle fournis par Intel pour la cryptographie et la compression. | Pour désactiver l'utilisation de QAT, utilisez l'interface de ligne de commande NSX. Pour plus d'informations, reportez-vous à la section « Prise en charge d'Intel QAT pour la cryptographie en masse de VPN IPSec » dans le Guide d'installation de NSX. |
| 72026 | Le module FIPS Bouncy-castle n'est pas prêt. | Vérifiez que vos applications sont en cours d'exécution et vérifiez vos journaux. | |
| 72200 | Entropie réelle insuffisante disponible. | Signale cet état si un générateur de nombres pseudo aléatoires génère l'entropie plutôt que de se fier à l'entropie générée par le matériel. Le nœud NSX Manager n'utilise pas l'entropie générée par le matériel, car il ne dispose pas de la prise en charge de l'accélération matérielle requise pour créer suffisamment d'entropie réelle. |
Utilisez un matériel plus récent pour exécuter le nœud NSX Manager. La plupart des matériels récents prennent en charge cette fonctionnalité.
Note : Si l'infrastructure sous-jacente est virtuelle, vous n'obtiendrez pas d'entropie réelle.
|
| 72201 | Source d'entropie inconnue. | Signale cet état lorsqu'aucun état d'entropie n'est disponible pour le nœud indiqué. | Il s'agit d'une erreur de communication interne empêchant NSX Manager de déterminer la source de l'entropie. Ouvrez une demande de service avec VMware. |
| 72301 | Le certificat n'est pas signé par une autorité de certification. | Signale cet état lorsque l'un des certificats NSX Manager n'est pas signé par une autorité de certification. NSX Manager utilise les certificats suivants .
|
Installez des certificats signés par une autorité de certification. Consultez Certificats. |
| 72302 | Il manque des informations sur l'utilisation de la clé étendue dans le certificat. | Les extensions EKU présentes dans CSR doivent également être présentes dans les certificats de serveur. | EKU doit correspondre à l'utilisation prévue. Par exemple, SERVEUR lors de la connexion à un serveur, CLIENT lorsqu'il est utilisé comme certificat client sur un serveur. |
| 72303 | Le certificat a été révoqué. | La validité du certificat est dans un état terminal et ne peut pas être récupérée. | |
| 72304 | Le certificat n'est pas RSA. | Assurez-vous que votre clé publique de certificat est destinée à un certificat RSA. | |
| 72305 | Le certificat n'est pas une courbe elliptique. | Signale cet état lorsque votre certificat échoue à la conformité EAL4+. | Remplacez vos certificats non confirmes avec des certificats signés par une autorité de certification. Reportez-vous à la section Remplacer les certificats via l'API. |
| 72306 | Le certificat ne contient pas de contraintes de base. | Le certificat ne semble pas être valide pour l'objectif sélectionné ou peut manquer de champs/valeurs nécessaires. | |
| 72307 | Impossible d'extraire la CRL. | ||
| 72308 | La CRL n'est pas valide. | Vérifiez la liste de révocation des certificats pour déterminer la raison pour laquelle elle a été marquée comme non valide. | |
| 72309 | La vérification d'expiration du certificat Corfu a été désactivée. | ||
| 72310 | Certains gestionnaires de calcul ne disposent pas de certificat RSA ou la longueur de la clé du certificat est inférieure à 3 072 bits. | Lorsqu'un gestionnaire de calcul (par exemple, vCenter) est connecté à NSX Manager, il transmet son certificat à NSX Manager. Si le certificat n'est pas de type RSA , mais que la taille de clé RSA du certificat est inférieure à 3 072 bits, cette erreur se déclenche. | Supprimez l'enregistrement du gestionnaire de calcul dans NSX Manager. Remplacez le certificat du gestionnaire de calcul par un certificat RSA dont la taille de clé est d'au moins 3 072 bits. |
| 72401 | L'inspection TLS de passerelle n'est pas conforme à FIPS. | ||
| 72402 | Système non conforme à FIPS. | ||
| 72403 | Présence d'identité de principal détectée dans le système. Supprimez toutes les identités de principal pour la conformité EAL4. | ||
| 72404 | Présence de point de terminaison OIDC détectée dans le système. Supprimez tous les points de terminaison OIDC pour la conformité EAL4. | ||
| 72501 | Les mots de passe utilisateur configurés ne sont pas conformes. Les utilisateurs doivent utiliser des mots de passe de haute qualité d'au moins 16 caractères. | Signale lorsque les mots de passe d'utilisateur échouent à la conformité EAL4+. | Le mot de passe des utilisateurs locaux (à l'exception de l'utilisateur racine) doit comporter au moins 16 caractères. En d'autres termes, cela signifie que le mot de passe de l'utilisateur Admin doit comporter au moins 16 caractères. Il s'agit d'un ajout à la vérification de la complexité du mot de passe qui est requise lors de la modification du mot de passe. |
| 72502 | Impossible d'obtenir les utilisateurs synchronisés. | ||
| 72503 | L'état du service SSH pour le dispositif Manager s'est avéré en cours d'exécution. | ||
| 72504 | Comptes d'utilisateurs actifs non-administrateur détectés. | Un utilisateur autre qu'administrateur est actif dans NSX Manager. | Désactivez tous les autres utilisateurs qu'admin. |
| 73000 | Une erreur s'est produite lors de la collecte des données de conformité de la plate-forme. |
