VxRail: ESXi-Hosts erhalten nach der Implementierung eines nutzerdefinierten Zertifikats einen "HA-Fehlerstatus".

Nutzerdefinierte CA-Zertifikate werden den ESXi-Hosts hinzugefügt und vSphere High Availability (HA) funktioniert nicht mehr. 
 

/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.

1. Überprüfen Sie die fdm.log auf dem primären Host und kopieren Sie die Fingerabdrücke zur späteren Verwendung.
2. Beenden Sie den vCenter Server-Service.
3. Stellen Sie eine Verbindung zur vCenter Server-Datenbank her. 
4. Erstellen Sie ein Backup der vCenter Server-Datenbank, bevor Sie Änderungen vornehmen.
5. Überprüfen Sie, ob die beiden Fingerabdrücke (aus dem fdm.log) in der Tabelle VPX_HOST angezeigt werden.
6. Stellen Sie sicher, dass beide Werte mit dem Fingerabdruck des SSL-Zertifikats in /etc/vmware/ssl/rui.crt
7 identisch sind. Übernehmen Sie die Änderungen in der Datenbank.
8. Starten Sie den vCenter Server-Service und stellen Sie mit dem vSphere Client/Web Client eine Verbindung zu ihm her.
9. HA

erneut aktivieren Um beide Fingerabdrücke für alle Hosts anzuzeigen, können Sie die folgende Abfrage verwenden:
 

select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;

Die Ausgabe ähnelt dem folgenden:
 

VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
 id  |       dns_name       | ip_address |                   expected_ssl_thumbprint                   |                     host_ssl_thumbprint

Um Fingerabdrücke zu aktualisieren, können Sie eine Abfrage ähnlich der folgenden verwenden:
 

UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;

UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;

Weitere Informationen finden Sie unter: https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.html