VxRail: ESXi-värdar får ett "HA-feltillstånd" efter implementering av ett anpassat certifikat

Summary: Anpassade CA-certifikat läggs till i ESXi-värdarna och vSphere High Availability (HA) slutar fungera.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms



Anpassade CA-certifikat läggs till i ESXi-värdarna och vSphere High Availability (HA) slutar fungera. 
 

/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.

 

Cause

Detta kan möjligen tyda på att det finns ett problem med FDM (Fault Domain Manager) som misslyckades när VMware HA konfigurerades på klustret: den primära värden har valts och anslutits utan problem, men slavar kan inte ansluta till den.

Resolution

1. Kontrollera fdm.log på den primära värden och kopiera tumavtrycken för framtida referens.
2. Stoppa vCenter Server-tjänsten.
3. Anslut till vCenter Server-databasen. 
4. Gör en säkerhetskopia av vCenter Server-databasen innan du gör några ändringar.
5. Kontrollera om du kan se de två tumavtrycken (från fdm.log) i den VPX_HOST tabellen.
6. Kontrollera att båda värdena är desamma som tumavtrycket från SSL-certifikatet i /etc/vmware/ssl/rui.crt
7. Genomför ändringarna i databasen.
8. Starta vCenter Server-tjänsten och anslut till den med vSphere-klienten/webbklienten.
9. Återaktivera HA

Om du vill se båda tumavtrycken för alla värdar kan du använda frågan nedan:
 

select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;


Den visar utdata som liknar:
 

VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
 id  |       dns_name       | ip_address |                   expected_ssl_thumbprint                   |                     host_ssl_thumbprint


Om du vill uppdatera tumavtrycken kan du använda en fråga som liknar:
 

UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;

UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;


 

Additional Information

Mer information finns i: https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.htmlDen här hyperlänken tar dig till en webbplats utanför Dell Technologies.

Affected Products

VxRail Software

Products

VxRail Appliance Family, VxRail Software
Article Properties
Article Number: 000082193
Article Type: Solution
Last Modified: 11 Feb 2025
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.