VxRail: 사용자 지정 인증서를 구현한 후 ESXi 호스트가 "HA 오류 상태"가 됨

Summary: 사용자 지정 CA 인증서가 ESXi 호스트에 추가되고 vSphere HA(High Availability)가 작동을 중지합니다.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



사용자 지정 CA 인증서가 ESXi 호스트에 추가되고 vSphere HA(High Availability)가 작동을 중지합니다. 
 

/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.

 

Cause

이는 클러스터에서 VMware HA를 구성할 때 장애가 발생한 FDM(Fault Domain Manager)에 문제가 있음을 나타낼 수 있습니다. 즉 운영 호스트가 선택되고 성공적으로 연결되었지만 슬레이브가 여기에 연결할 수 없습니다.

Resolution

1. 운영 호스트에서 fdm.log 확인하고 나중에 참조할 수 있도록 지문을 복사합니다.
2. vCenter Server 서비스를 중지합니다.
3. vCenter Server 데이터베이스에 연결합니다. 
4. 변경하기 전에 vCenter Server 데이터베이스를 백업합니다.
5. VPX_HOST 표에서 두 개의 지문(fdm.log)을 볼 수 있는지 확인합니다.
6. 두 값이 /etc/vmware/ssl/rui.crt
에 있는 SSL 인증서의 지문과 동일한지 확인합니다. 7. 데이터베이스에 대한 변경 내용을 커밋합니다.
8. vCenter Server 서비스를 시작하고 vSphere Client/Web Client를 사용하여 연결합니다.
9. HA

다시 활성화 모든 호스트에 대한 두 지문을 모두 보려면 아래 쿼리를 사용합니다.
 

select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;


다음과 유사한 출력이 나열됩니다.
 

VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
 id  |       dns_name       | ip_address |                   expected_ssl_thumbprint                   |                     host_ssl_thumbprint


지문을 업데이트하려면 다음과 유사한 쿼리를 사용할 수 있습니다.
 

UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;

UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;


 

Additional Information

자세한 내용은 다음을 참조하세요. https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.html이 하이퍼링크는 Dell Technologies 외부의 웹사이트로 연결됩니다.

Affected Products

VxRail Software

Products

VxRail Appliance Family, VxRail Software
Article Properties
Article Number: 000082193
Article Type: Solution
Last Modified: 11 Feb 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.