「VxRail:カスタム証明書を実装した後、ESXiホストが「HAエラー状態」になる

Summary: カスタムCA証明書がESXiホストに追加され、vSphere High Availability (HA)が機能しなくなります。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



カスタムCA証明書がESXiホストに追加され、vSphere High Availability (HA)が機能しなくなります。 
 

/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.

 

Cause

これは、クラスタで VMware HA を設定するときに失敗した Fault Domain Manager(FDM)に問題があることを示している可能性があります:プライマリホストは正常に選択され、接続されましたが、スレーブはそれに接続できません。

Resolution

1.プライマリー ホストのfdm.logを確認し、後で参照できるようにサムプリントをコピーします。
2.vCenter Serverサービスを停止します。
3.vCenter Serverデータベースに接続します。
4.変更を加える前に、vCenter Serverデータベースのバックアップを作成します。
5.VPX_HOST表に(fdm.logからの)2つの拇印が表示されているかどうかを確認します
6.両方の値が、/etc/vmware/ssl/rui.crt
7にあるSSL証明書のサムプリントと同じであることを確認します。変更をデータベースにコミットします。
8.vCenter Serverサービスを開始し、vSphere Client/Web Clientを使用して接続します。
9.HAを再度有効にします

すべてのホストの両方の拇印を表示するには、次のクエリーを使用できます。
 

select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;


次のような出力が一覧表示されます。
 

VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
 id  |       dns_name       | ip_address |                   expected_ssl_thumbprint                   |                     host_ssl_thumbprint


拇印を更新するには、次のようなクエリを使用できます。
 

UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;

UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;


 

Additional Information

詳細については、次を参照してください: https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.htmlこのハイパーリンクをクリックすると、デル・テクノロジーズ以外のWebサイトにアクセスします。

Affected Products

VxRail Software

Products

VxRail Appliance Family, VxRail Software
Article Properties
Article Number: 000082193
Article Type: Solution
Last Modified: 11 Feb 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.