VxRail: ESXi-verter får en "HA-feiltilstand" etter implementering av et tilpasset sertifikat
Summary: Egendefinerte CA-sertifikater legges til ESXi-vertene, og vSphere High Availability (HA) slutter å fungere.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Egendefinerte CA-sertifikater legges til ESXi-vertene, og vSphere High Availability (HA) slutter å fungere.
/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.
Cause
Dette kan potensielt indikere at det er et problem med Fault Domain Manager (FDM) som mislyktes under konfigurasjon av VMware HA på klyngen: primærverten er valgt og koblet til, men slaver kan ikke koble til den.
Resolution
1. Kontroller fdm.log på primærverten, og kopier avtrykkene for fremtidig referanse.
2. Stopp vCenter Server-tjenesten.
3. Koble til vCenter Server-databasen.
4. Ta en sikkerhetskopi av vCenter Server-databasen før du gjør endringer.
5. Sjekk om du kan se de to tommelavtrykkene (fra fdm.log) i VPX_HOST-tabellen.
6. Kontroller at begge verdiene er de samme som avtrykk fra SSL-sertifikatet som du finner i /etc/vmware/ssl/rui.crt
7. Utfør endringene i databasen.
8. Start vCenter Server-tjenesten og koble til den med vSphere Client/Web Client.
9. Aktiver HA
på nytt Hvis du vil se begge avtrykkene for alle vertene, kan du bruke spørringen nedenfor:
select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
Den viser utdata som ligner på:
VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
id | dns_name | ip_address | expected_ssl_thumbprint | host_ssl_thumbprint
Hvis du vil oppdatere avtrykk, kan du bruke spørring på samme måte:
UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
Additional Information
Hvis du vil ha mer informasjon, kan du se: https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.html
Affected Products
VxRail SoftwareProducts
VxRail Appliance Family, VxRail SoftwareArticle Properties
Article Number: 000082193
Article Type: Solution
Last Modified: 11 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.