VxRail: Gli host ESXi entrano in uno "stato di errore HA" dopo l'implementazione di un certificato personalizzato
Summary: I certificati CA personalizzati vengono aggiunti agli host ESXi e vSphere High Availability (HA) smette di funzionare.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
I certificati CA personalizzati vengono aggiunti agli host ESXi e vSphere High Availability (HA) smette di funzionare.
/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.
Cause
Ciò potrebbe potenzialmente indicare che si è verificato un problema con Fault Domain Manager (FDM) non riuscito durante la configurazione di VMware HA sul cluster: l'host primario è stato selezionato e connesso correttamente, ma gli slave non riescono a connettersi ad esso.
Resolution
1. Controllare il fdm.log sull host primario e copiare le identificazioni personali per riferimento futuro.
2. Arrestare il servizio vCenter Server.
3. Connettersi al database di vCenter Server.
4. Eseguire un backup del database vCenter Server prima di apportare qualsiasi modifica.
5. Verificare che le due identificazioni personali (dal fdm.log) siano visibili nella tabella VPX_HOST.
6. Verificare che entrambi i valori siano uguali all'identificazione personale del certificato SSL che si trova in /etc/vmware/ssl/rui.crt
7. Eseguire il commit delle modifiche nel database.
8. Avviare il servizio vCenter Server e connettersi a esso con vSphere Client/Web Client.
9. Riabilitare HA
Per visualizzare entrambe le identificazioni personali per tutti gli host, è possibile utilizzare la query seguente:
select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
Elenca un output simile a:
VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
id | dns_name | ip_address | expected_ssl_thumbprint | host_ssl_thumbprint
Per aggiornare le identificazioni personali, è possibile utilizzare una query simile a:
UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
Additional Information
Per ulteriori informazioni, consultare: https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.html
Affected Products
VxRail SoftwareProducts
VxRail Appliance Family, VxRail SoftwareArticle Properties
Article Number: 000082193
Article Type: Solution
Last Modified: 11 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.