VxRail: Hostitelé ESXi po implementaci vlastního certifikátu přejdou do chybového stavu HA
Summary: Do hostitelů ESXi se přidají vlastní certifikáty certifikační autority a systém vSphere High Availability (HA) přestane fungovat.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Do hostitelů ESXi se přidají vlastní certifikáty certifikační autority a systém vSphere High Availability (HA) přestane fungovat.
/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.
Cause
To může potenciálně znamenat, že došlo k problému se správcem domény selhání (FDM), který selhal při konfiguraci VMware HA na clusteru: primární hostitel byl zvolen a úspěšně připojen, ale podřízené jednotky se k němu nemohou připojit.
Resolution
1. Zkontrolujte fdm.log na primárním hostiteli a zkopírujte otisky pro budoucí použití.
2. Zastavte službu vCenter Server.
3. Připojte se k databázi vCenter Server.
4. Před provedením jakýchkoli změn vytvořte zálohu databáze serveru vCenter Server.
5. Zkontrolujte, jestli se v tabulce VPX_HOST zobrazují dva kryptografické otisky (z fdm.log).
6. Ujistěte se, že obě hodnoty jsou stejné jako otisk z certifikátu SSL umístěného v souboru /etc/vmware/ssl/rui.crt
7. Potvrďte změny v databázi.
8. Spusťte službu vCenter Server a připojte se k ní pomocí klienta vSphere / webového klienta.
9. Znovu povolte vysokou dostupnost
: Pokud chcete zobrazit oba kryptografické otisky pro všechny hostitele, můžete použít následující dotaz:
select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
Uvádí výstup podobný tomuto:
VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
id | dns_name | ip_address | expected_ssl_thumbprint | host_ssl_thumbprint
Pokud chcete aktualizovat kryptografické otisky, můžete použít dotaz podobný tomuto:
UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
Additional Information
Další informace naleznete v tématu: https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.html
Affected Products
VxRail SoftwareProducts
VxRail Appliance Family, VxRail SoftwareArticle Properties
Article Number: 000082193
Article Type: Solution
Last Modified: 11 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.