VxRail : Les hôtes ESXi rencontrent un « état d’erreur HA » après l’implémentation d’un certificat personnalisé

Des certificats CA personnalisés sont ajoutés aux hôtes ESXi et vSphere High Availability (HA) cesse de fonctionner. 
 

/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.

1. Vérifiez le fdm.log sur l’hôte principal et copiez les empreintes pour référence
ultérieure.2. Arrêtez le service vCenter Server.
3. Connectez-vous à la base de données vCenter Server. 
4. Effectuez une sauvegarde de la base de données vCenter Server avant d’apporter des modifications.
5. Vérifiez si vous pouvez voir les deux empreintes (du fdm.log) dans le tableau VPX_HOST.
6. Assurez-vous que les deux valeurs sont identiques à l’empreinte du certificat SSL situé dans /etc/vmware/ssl/rui.crt
7. Validez les modifications apportées à la base de données.
8. Démarrez le service vCenter Server et connectez-vous à celui-ci à l’aide de vSphere Client/Web Client.
9. Réactiver la haute disponibilité

Pour afficher les deux empreintes pour tous les hôtes, vous pouvez utiliser la requête ci-dessous :
 

select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;

Elle répertorie un résultat semblable à :
 

VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
 id  |       dns_name       | ip_address |                   expected_ssl_thumbprint                   |                     host_ssl_thumbprint

Pour mettre à jour les empreintes numériques, vous pouvez utiliser une requête similaire à :
 

UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;

UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;

Pour plus d’informations, voir : https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.html