Le informazioni sul significato dei codici del report di conformità sono disponibili nel report sullo stato di conformità.

https://docs-staging.vmware.com/en/draft/VMware-NSX/4.2/administration/GUID-32B9FB01-6376-40C0-B631-1F20B8FF7452.html?hWord=N4IghgNiBcICYFMwGMAuBLAbmVCAEAKgDIDKIAvkAPer un elenco completo degli eventi, vedere il Catalogo degli eventi di NSX.
Tabella 1. Codici del report della conformità
Codice Descrizione Origine dello stato della conformità Correzione
72001 La crittografia è disattivata. Segnala questo stato se la configurazione di un profilo IPSec VPN contiene NO_ENCRYPTION, NO_ENCRYPTION_AUTH_AES_GMAC_128, NO_ENCRYPTION_AUTH_AES_GMAC_192 o NO_ENCRYPTION_AUTH_AES_GMAC_256 in encryption_algorithms.

Questo stato influisce sulle configurazioni delle sessioni VPN IPSec che utilizzano le configurazioni non conformi segnalate.

Aggiungere un profilo IPSec VPN che utilizzi algoritmi di crittografia conformi e usare il profilo in tutte le configurazioni VPN. Vedere Aggiunta di profili IPSec.
72011 I messaggi BGP con router adiacente ignorano il controllo dell'integrità. Non è definita alcuna autenticazione per i messaggi. Segnala questo stato se i router adiacenti BGP non hanno una password configurata.

Questo stato influisce sulla configurazione del router adiacente BGP.

Configurare una password nel router adiacente BGP e aggiornare la configurazione del gateway di livello 0 per utilizzare la password. Vedere Configurazione di BGP.
72012 La comunicazione con il router adiacente BGP utilizza un controllo dell'integrità debole. Per i messaggi viene utilizzata l'autenticazione MD5. Segnala questo stato se per la password del router adiacente BGP viene utilizzata l'autenticazione MD5.

Questo stato influisce sulla configurazione del router adiacente BGP.

Non è disponibile alcuna correzione perché NSX supporta solo l'autenticazione MD5 per BGP.
72021 Per stabilire una connessione socket sicura, viene utilizzato SSL versione 3. È consigliabile eseguire TLS v 1.1 o versione successiva e disattivare completamente SSLv3 che ha punti deboli del protocollo. Segnala questo stato se SSL versione 3 è configurato nel profilo SSL del client di bilanciamento del carico, nel profilo SSL del server di bilanciamento del carico o nel monitoraggio HTTPS del bilanciamento del carico.
Questo stato influisce sulle seguenti configurazioni:
  • Pool di bilanciamento del carico associati ai monitoraggi HTTPS.
  • Server virtuali di bilanciamento del carico associati ai profili SSL del client o del server di bilanciamento del carico.
Configurare un profilo SSL in modo che utilizzi TLS v1.1 o versione successiva e usare questo profilo in tutte le configurazioni del bilanciamento del carico. Vedere Aggiunta di un profilo SSL.
72022 Per stabilire una connessione socket sicura, viene utilizzato TLS versione 1.0. Eseguire TLS v1.1 o versione successiva e disattivare completamente TLS v1.0 che ha punti deboli del protocollo. Segnala questo stato se il profilo SSL del client di bilanciamento del carico, il profilo SSL del server di bilanciamento del carico o il monitoraggio HTTPS del bilanciamento del carico include la configurazione di TLS v1.0.
Questo stato influisce sulle seguenti configurazioni:
  • Pool di bilanciamento del carico associati ai monitoraggi HTTPS.
  • Server virtuali di bilanciamento del carico associati ai profili SSL del client o del server di bilanciamento del carico.
Configurare un profilo SSL in modo che utilizzi TLS v1.1 o versione successiva e usare questo profilo in tutte le configurazioni del bilanciamento del carico. Vedere Aggiunta di un profilo SSL.
72023 Viene utilizzato il gruppo Diffie-Hellman debole. Segnala questo errore se la configurazione di un profilo IPSec VPN o di un profilo IKE VPN include i seguenti gruppi Diffie-Hellman: 2, 5, 14, 15 o 16. I gruppi 2 e 5 sono gruppi Diffie-Hellman deboli. I gruppi 14, 15 e 16 non sono gruppi deboli, ma non sono conformi con FIPS.

Questo stato influisce sulle configurazioni delle sessioni VPN IPSec che utilizzano le configurazioni non conformi segnalate.

Configurare i profili VPN in modo che utilizzino il gruppo Diffie-Hellman 19, 20 o 21. Vedere Aggiunta di profili.
72025 Quick Assist Technologies (QAT) in esecuzione nel nodo dell'Edge non è conforme a FIPS. QAT è un set di servizi con accelerazione hardware forniti da Intel per la crittografia e la compressione. Per disattivare l'utilizzo di QAT, utilizzare la CLI di NSX. Per informazioni dettagliate, vedere "Supporto di Intel QAT per la crittografia in blocco di VPN IPSec" nella Guida all'installazione di NSX.
72026 Il modulo FIPS Bouncy-Castle non è pronto. Verificare che le applicazioni siano in esecuzione e controllare i registri.
72200 L'entropia true disponibile è insufficiente. Segnala questo stato se un generatore di numeri casuali speciale genera l'entropia anziché basarsi sull'entropia generata dall'hardware.

Il nodo NSX Manager non utilizza l'entropia generata dall'hardware perché non dispone del supporto di accelerazione hardware necessario per creare una sufficiente vera entropia.

Utilizzare hardware più recente per eseguire il nodo NSX Manager. L'hardware più recente supporta questa funzionalità.
Nota: Se l'infrastruttura sottostante è virtuale, non si ottiene l'entropia true.
72201 L'origine dell'entropia è sconosciuta. Segnala questo stato quando non è disponibile alcuno stato dell'entropia per il nodo indicato. Si tratta di un errore di comunicazione interno che impedisce a NSX Manager di determinare l'origine dell'entropia. Aprire una richiesta di servizio presso VMware.
72301 Il certificato non è firmato dall'autorità di certificazione. Segnala questo stato quando uno dei certificati di NSX Manager non è firmato dall'autorità di certificazione. NSX Manager utilizza i certificati seguenti:
  • Certificato syslog.
  • Certificati API per i singoli nodi di NSX Manager.
  • Certificato cluster utilizzato per il VIP di NSX Manager.
Installare i certificati firmati dall'autorità di certificazione. Fare riferimento a Certificati.
72302 Nel certificato mancano le informazioni sull'utilizzo della chiave estesa (EKU). Le estensioni EKU presenti nella richiesta CSR devono essere presenti anche nei certificati del server. EKU deve corrispondere all'utilizzo previsto. Ad esempio SERVER quando si connette a un server e CLIENT quando utilizzato come certificato client su un server.
72303 Il certificato è stato revocato. La validità del certificato si trova nello stato terminale e non può essere ripristinata.
72304 Il certificato non è RSA. Assicurarsi che la chiave pubblica del certificato sia per un certificato RSA.
72305 Il certificato non è Curva ellittica. Segnala questo stato quando il certificato non è conforme a EAL4+. Sostituire i certificati non conformi con certificati firmati dall'autorità di certificazione. Vedere Sostituzione dei certificati tramite API.
72306 Nel certificato mancano vincoli di base. Il certificato non sembra essere valido per lo scopo selezionato o potrebbe non avere i campi o i valori necessari.
72307 Impossibile recuperare CRL.
72308 CRL non valido. Verificare il CRL per determinare il motivo per cui è stato contrassegnato come non valido.
72309 Il controllo della scadenza del certificato Corfu è stato disattivato.
72310 Alcuni gestori delle risorse di elaborazione non dispongono del certificato RSA o la lunghezza della chiave del certificato è inferiore a 3072 bit. Quando un gestore delle risorse di elaborazione (ad esempio vCenter) è connesso al NSX Manager, passa il proprio certificato a NSX Manager. Se il certificato non è di tipo RSA, oppure se il certificato è di tipo RSA ma le dimensioni della chiave RSA del certificato sono inferiori a 3072 bit, si attiva questo errore. Eliminare il gestore risorse di elaborazione da NSX Manager. Sostituire il certificato del gestore delle risorse di elaborazione con un certificato RSA con dimensioni di chiave di almeno 3072 bit.
72401 L'ispezione TLS del gateway non è conforme a FIPS.
72402 Sistema non conforme a FIPS.
72403 Presenza dell'identità entità rilevata nel sistema. Rimuovere tutte le identità entità per la conformità EAL4.
72404 Presenza di endpoint OIDC rilevata nel sistema. Rimuovere tutti gli endpoint OIDC per la conformità EAL4.
72501 Le password degli utenti configurate non sono conformi. Gli utenti devono utilizzare password di alta qualità di almeno 16 caratteri. Segnala quando le password degli utenti non sono conformi a EAL4+. La password per gli utenti locali (ad eccezione dell'utente root) deve contenere almeno 16 caratteri. In altre parole, questo significa che la password dell'utente amministratore deve contenere almeno 16 caratteri. Questo si aggiunge al controllo di complessità della password necessario quando si modifica la password.
72502 Impossibile ottenere gli utenti sincronizzati.
72503 Il servizio SSH per l'appliance di gestione è in esecuzione.
72504 Sono stati rilevati account utente attivi non amministratori. Quando un utente diverso dall'amministratore è attivo in NSX Manager. Disattivare tutti gli altri utenti diversi dall'amministratore.
73000 Si è verificato un errore durante la raccolta dei dati di conformità della piattaforma.