VxRail: Los hosts ESXi se ejecutan en un "estado de error de alta disponibilidad" después de implementar un certificado personalizado
Summary: Se agregan certificados de CA personalizados a los hosts ESXi y vSphere High Availability (HA) deja de funcionar.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Se agregan certificados de CA personalizados a los hosts ESXi y vSphere High Availability (HA) deja de funcionar.
/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.
Cause
Esto podría indicar que hay un problema con el administrador de dominios de falla (FDM) que falló al configurar VMware HA en el clúster: el host primario se eligió y se conectó correctamente, pero los esclavos no se pueden conectar a él.
Resolution
1. Compruebe el fdm.log en el host primario y copie las huellas digitales para futuras referencias.
2. Detenga el servicio vCenter Server.
3. Conéctese a la base de datos de vCenter Server.
4. Realice un respaldo de la base de datos de vCenter Server antes de realizar cualquier cambio.
5. Compruebe si puede ver las dos huellas digitales (de la fdm.log) en la tabla VPX_HOST.
6. Asegúrese de que ambos valores sean los mismos que la huella digital del certificado SSL ubicado en /etc/vmware/ssl/rui.crt
7. Confirme los cambios en la base de datos.
8. Inicie el servicio vCenter Server y conéctese a él con vSphere Client/Web Client.
9. Vuelva a habilitar la alta disponibilidad
Para ver ambas huellas digitales de todos los hosts, puede usar la siguiente consulta:
select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
Muestra una salida similar a la siguiente:
VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
id | dns_name | ip_address | expected_ssl_thumbprint | host_ssl_thumbprint
Para actualizar huellas digitales, puede usar una consulta similar a la siguiente:
UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
Additional Information
Para obtener más información, consulte: https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.html
Affected Products
VxRail SoftwareProducts
VxRail Appliance Family, VxRail SoftwareArticle Properties
Article Number: 000082193
Article Type: Solution
Last Modified: 11 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.