VxRail: Os hosts do ESXi são executados em um "estado de erro de HA" após a implementação de um certificado personalizado
Summary: Certificados CA personalizados são adicionados aos hosts do ESXi e o vSphere High Availability (HA) para de funcionar.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Certificados CA personalizados são adicionados aos hosts do ESXi e o vSphere High Availability (HA) para de funcionar.
/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.
Cause
Isso pode indicar que há um problema com o Fault Domain Manager (FDM) que falhou ao configurar o VMware HA no cluster: o host primário foi eleito e conectado com sucesso, mas os escravos não podem se conectar a ele.
Resolution
1. Verifique o fdm.log no host primário e copie as impressões digitais para referência futura.
2. Interrompa o serviço do vCenter Server.
3. Conecte-se ao banco de dados do vCenter Server.
4. Faça um backup do banco de dados do vCenter Server antes de fazer qualquer alteração.
5. Verifique se você consegue ver as duas impressões digitais (do fdm.log) na tabela VPX_HOST.
6. Certifique-se de que ambos os valores sejam iguais à impressão digital do certificado SSL localizada em /etc/vmware/ssl/rui.crt
7. Confirme as alterações no banco de dados.
8. Inicie o serviço vCenter Server e conecte-se a ele com o vSphere Client/Web Client.
9. Reativar o HA
Para ver as duas impressões digitais de todos os hosts, você pode usar a consulta abaixo:
select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
Ele lista saídas semelhantes a:
VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
id | dns_name | ip_address | expected_ssl_thumbprint | host_ssl_thumbprint
Para atualizar as impressões digitais, você pode usar uma consulta semelhante a:
UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
Additional Information
Para obter mais informações, consulte: https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.html
Affected Products
VxRail SoftwareProducts
VxRail Appliance Family, VxRail SoftwareArticle Properties
Article Number: 000082193
Article Type: Solution
Last Modified: 11 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.