VxRail: ESXi-værter løber ind i en "HA-fejltilstand" efter implementering af et brugerdefineret certifikat
Summary: Brugerdefinerede CA-certifikater føjes til ESXi-værterne, og vSphere High Availability (HA) holder op med at fungere.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Brugerdefinerede CA-certifikater føjes til ESXi-værterne, og vSphere High Availability (HA) holder op med at fungere.
/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.
Cause
Dette kan potentielt indikere, at der er et problem med FDM (Fault Domain Manager), som mislykkedes ved konfiguration af VMware HA på klyngen: Den primære vært er blevet valgt og tilsluttet, men slaver kan ikke oprette forbindelse til den.
Resolution
1. Kontroller fdm.log på den primære vært, og kopier tommelaftrykkene til fremtidig reference.
2. Stop vCenter Server-tjenesten.
3. Opret forbindelse til vCenter Server-databasen.
4. Tag en sikkerhedskopi af vCenter Server-databasen, før du foretager ændringer.
5. Kontroller, om du kan se de to fingeraftryk (fra fdm.log) i VPX_HOST tabellen.
6. Sørg for, at begge værdier er de samme som fingeraftryk fra SSL-certifikat placeret i /etc/vmware/ssl/rui.crt
7. Foretag ændringerne i databasen.
8. Start vCenter Server-tjenesten, og opret forbindelse til den med vSphere Client/Web Client.
9. Genaktiver HA
For at se begge fingeraftryk for alle værter kan du bruge nedenstående forespørgsel:
select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
Den viser output svarende til:
VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
id | dns_name | ip_address | expected_ssl_thumbprint | host_ssl_thumbprint
Hvis du vil opdatere aftryk, kan du bruge forespørgsler, der ligner:
UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
Additional Information
Du kan finde flere oplysninger i: https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.html
Affected Products
VxRail SoftwareProducts
VxRail Appliance Family, VxRail SoftwareArticle Properties
Article Number: 000082193
Article Type: Solution
Last Modified: 11 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.