コンプライアンス レポート コードの意味に関する情報は、コンプライアンス状態レポートで確認できます。
| コード | 説明 | コンプライアンスの状態の送信元 | 修正方法 |
|---|---|---|---|
| 72001 | 暗号化が無効になっています。 | この状態は、VPN IPsec プロファイルの構成に NO_ENCRYPTION、NO_ENCRYPTION_AUTH_AES_GMAC_128、NO_ENCRYPTION_AUTH_AES_GMAC_192 または NO_ENCRYPTION_AUTH_AES_GMAC_256 encryption_algorithms が含まれている場合に報告されます。この状態は、報告された非遵守の構成を使用する IPsec VPN セッションの構成に影響します。 |
準拠している暗号化アルゴリズムを含む VPN IPsec プロファイルを追加して、このプロファイルをすべての VPN 構成で使用します。「IPsec プロファイルの追加」を参照してください。 |
| 72011 | ネイバーのバイパス整合性チェックの BGP メッセージ。メッセージ認証が定義されていません。 | この状態は、BGP ネイバーにパスワードが設定されていない場合に報告されます。 この状態は、BGP ネイバーの構成に影響します。 |
BGP ネイバーにパスワードを構成し、このパスワードを使用するように Tier-0 ゲートウェイの構成を更新します。「BGP の構成」を参照してください。 |
| 72012 | BGP ネイバーとの通信で、脆弱な整合性チェックが使用されています。メッセージ認証に MD5 が使用されています。 | この状態は、BGP ネイバーのパスワードに MD5 認証が使用されている場合に報告されます。 この状態は、BGP ネイバーの構成に影響します。 |
NSX は BGP に MD5 認証のみをサポートしているため、この状態は修正できません。 |
| 72021 | セキュアなソケット接続の確立に SSL バージョン 3 が使用されています。TLS v 1.1 以降を実行し、プロトコルに脆弱性がある SSLv3 を完全に無効にすることをおすすめします。 | この状態は、ロード バランサのクライアント SSL プロファイル、ロード バランサのサーバ SSL プロファイルまたはロード バランサの HTTPS モニターで SSL バージョン 3 が構成されている場合に報告されます。
この状態は、次の構成に影響します。
|
TLS v1.1 以降を使用するように SSL プロファイルを構成し、このプロファイルをすべてのロード バランサで使用します。「SSL プロファイルの追加」を参照してください。 |
| 72022 | セキュアなソケット接続の確立に TLS バージョン 1.0 が使用されています。TLS v1.1 以降を実行し、プロトコルに脆弱性がある TLS v1.0 を完全に無効にします。 | この状態は、ロード バランサのクライアント SSL プロファイル、ロード バランサのサーバ SSL プロファイル、またはロード バランサの HTTPS モニターに TLS v1.0 が構成されている場合に報告されます。
この状態は、次の構成に影響します。
|
TLS v1.1 以降を使用するように SSL プロファイルを構成し、このプロファイルをすべてのロード バランサで使用します。「SSL プロファイルの追加」を参照してください。 |
| 72023 | 脆弱な Diffie-Hellman グループが使用されています。 | このエラーは、VPN IPsec プロファイルまたは VPN IKE プロファイルの構成に Diffie-Hellman グループ(2、5、14、15、16)が含まれている場合に報告されます。グループ 2 と 5 は、脆弱な Diffie-Hellman グループです。グループ 14、15、16 は脆弱なグループではありませんが、FIPS に準拠していません。 この状態は、報告された非遵守の構成を使用する IPsec VPN セッションの構成に影響します。 |
Diffie-Hellman グループ 19、20 または 21 を使用するように VPN プロファイルを構成します。「プロファイルの追加」を参照してください。 |
| 72025 | Edge ノードで実行されている Quick Assist Technologies (QAT) は FIPS に準拠していません。 | QAT は、Intel が暗号化と圧縮のために提供するハードウェア アクセラレーション サービスのセットです。 | QAT の使用を無効にするには、NSX CLI を使用します。詳細については、『NSX インストール ガイド』の「IPsec VPN 一括暗号化での Intel QAT のサポート」を参照してください。 |
| 72026 | Bouncy-castle FIPS モジュールの準備ができていません。 | アプリケーションが実行されていることを確認し、ログをチェックします。 | |
| 72200 | エントロピが十分ではありません。 | この状態は、疑似乱数ジェネレータが、ハードウェアによって生成されたエントロピーに依存せずにエントロピーを生成した場合に報告されます。 NSX Manager ノードは、十分な真のエントロピーを作成するために必要なハードウェア アクセラレーションのサポートがないため、ハードウェア生成のエントロピーを使用しません。 |
新しいハードウェアを使用して、NSX Manager ノードを実行します。最新のハードウェアでは、この機能がサポートされています。
注: 基盤となるインフラストラクチャが仮想の場合、真のエントロピは得られません。
|
| 72201 | エントロピ源が不明です。 | この状態は、指定されたノードでエントロピーの状態が不明な場合に報告されます。 | このエラーは、NSX Manager がエントロピーのソースを特定できないことを示す内部通信エラーです。サービス要求を作成して VMware に問い合わせてください。 |
| 72301 | 証明書に認証局 (CA) の署名がありません。 | この状態は、NSX Manager 証明書のいずれかに CA の署名がない場合に報告されます。NSX Manager は次の証明書を使用します。
|
CA 署名付き証明書をインストールします。証明書を参照してください。 |
| 72302 | 証明書に拡張キーの使用情報 (EKU) がありません。 | CSR に存在する EKU 拡張機能は、サーバ証明書にも存在する必要があります。 | EKU は、目的の使用方法と一致する必要があります。たとえば、サーバに接続する場合は SERVER、サーバ上でクライアント証明書として使用する場合は CLIENT にします。 |
| 72303 | 証明書が失効しています。 | 証明書の有効性が終了状態のため、リカバリできません。 | |
| 72304 | 証明書が RSA ではありません。 | 証明書のパブリック キーが RSA 証明書用であることを確認します。 | |
| 72305 | 証明書が楕円曲線ではありません。 | この状態は、証明書が EAL4+ コンプライアンスを遵守していない場合に報告されます。 | 非遵守の証明書を CA 署名付き証明書で置き換えます。「証明書の置き換え」を参照してください。 |
| 72306 | 証明書に基本的な制約がありません。 | 証明書が、選択した目的に対して有効でないか、必要なフィールドまたは値が欠落している可能性があります。 | |
| 72307 | CRL を取得できません。 | ||
| 72308 | CRL が無効です。 | CRL をチェックして、無効とマークされた理由を特定します。 | |
| 72309 | Corfu 証明書の有効期限チェックが無効になっています。 | ||
| 72310 | 一部のコンピュート マネージャに RSA 証明書がないか、証明書キーの長さが 3,072 ビット未満です。 | コンピュート マネージャ(vCenter Server など)が NSX Manager に接続されると、その証明書が NSX Manager に渡されます。証明書が RSA タイプではない場合、または証明書が RSA タイプでも証明書の RSA キー サイズが 3,072 ビット未満の場合、このエラーがトリガされます。 | NSX Manager からコンピュート マネージャを削除します。コンピュート マネージャの証明書を、キー サイズが 3,072 ビット以上の RSA 証明書に置き換えます。 |
| 72401 | ゲートウェイ TLS 検査が FIPS に準拠していません。 | ||
| 72402 | システムが FIPS に準拠していません。 | ||
| 72403 | システムでプリンシパル ID の存在が検出されました。EAL4 コンプライアンスのため、すべてのプリンシパル ID を削除してください。 | ||
| 72404 | システムで OIDC エンドポイントの存在が検出されました。EAL4 コンプライアンスのため、すべての OIDC エンドポイントを削除してください。 | ||
| 72501 | 構成されたユーザー パスワードが準拠していません。ユーザーは、16 文字以上の高品質のパスワードを使用する必要があります。 | ユーザー パスワードが EAL4+ を遵守していない場合に報告されます。 | ローカル ユーザー(root ユーザーを除く)のパスワードは 16 文字以上にする必要があります。つまり、admin ユーザーのパスワードは 16 文字以上にする必要があります。パスワードの変更時に必要なパスワードの複雑性チェックに加えて、これの条件を満たす必要があります。 |
| 72502 | 同期されたユーザーを取得できません。 | ||
| 72503 | NSX Manager アプライアンスの SSH サービスが実行状態であることが確認されました。 | ||
| 72504 | 管理者以外のアクティブなユーザー アカウントが検出されました。 | NSX Manager で admin 以外のユーザーがアクティブになっている場合。 | admin 以外の他のすべてのユーザーを無効にします。 |
| 73000 | プラットフォーム コンプライアンス データの収集中にエラーが発生しました。 |
