VxRail: Хости ESXi потрапляють у «стан помилки HA» після впровадження користувацького сертифіката
Summary: На хости ESXi додаються кастомні сертифікати CA, і vSphere High Availability (HA) перестає працювати.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
На хости ESXi додаються кастомні сертифікати CA, і vSphere High Availability (HA) перестає працювати.
/var/log/fdm.log:
2017-05-18T11:24:28.018Z error fdm[3A608B70] [Originator@6876 sub=Message opID=SWI-787207f7] [AcceptorImpl::FinishSSLAccept] Error N7Vmacore3St read) creating ssl stream or doing handshake
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[2] Other host GT : 90 >
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] version[2]
2017-05-18T11:24:28.145Z info fdm[FFD7FB70] [Originator@6876 sub=Cluster opID=SWI-60b7acd9] [ClusterPersistence::VersionChange] fetching versi
2017-05-18T11:24:28.145Z verbose fdm[FFD7FB70] [Originator@6876 sub=Election opID=SWI-60b7acd9] CheckVersion: Version[0] Other host Less : 260
2017-05-18T11:24:28.153Z error fdm[FFF45B70] [Originator@6876 sub=Message opID=SWI-66926e8] [MsgConnectionImpl::FinishSSLConnect] Error N7Vmac
--> PeerThumbprint: 3D:7E:55:CD:CF:9E:B1:C2:04:41:F6:59:2D:05:BB:49:7F:A7:AA:F3
--> ExpectedThumbprint: FE:B6:B6:44:65:DC:B7:70:C4:DD:0B:EA:CF:A1:5E:8A:13:50:1D:CA
--> ExpectedPeerName: host-87
--> The remote host certificate has these problems:
--> * Host name does not match the subject name(s) in certificate.
Cause
Це потенційно може свідчити про те, що виникла проблема з диспетчером доменів Fault Domain Manager (FDM), яка дала збій при налаштуванні VMware HA на кластері: основний хост був обраний і успішно підключений, але підлеглі пристрої не можуть підключитися до нього.
Resolution
1. Перевірте fdm.log на основному хості та скопіюйте відбитки пальців для подальшого використання.
2. Зупиніть службу сервера vCenter.
3. Підключіться до бази даних сервера vCenter.
4. Зробіть резервну копію бази даних vCenter Server, перш ніж вносити будь-які зміни.
5. Перевірте, чи бачите ви два відбитки пальців (з fdm.log) у таблиці VPX_HOST.
6. Переконайтеся, що обидва значення збігаються з відбитком мініатюри з сертифіката SSL, розташованого в /etc/vmware/ssl/rui.crt
7. Зафіксуйте зміни в базі даних.
8. Запустіть службу vCenter Server і підключіться до неї за допомогою vSphere Client/Web Client.
9. Повторно увімкніть HA
Щоб побачити обидва відбитки пальців для всіх хостів, ви можете використовувати запит нижче:
select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
У ньому перелічено вихідні дані, схожі на:
VCDB=# select ID, DNS_NAME, IP_ADDRESS, EXPECTED_SSL_THUMBPRINT, HOST_SSL_THUMBPRINT from VPX_HOST;
id | dns_name | ip_address | expected_ssl_thumbprint | host_ssl_thumbprint
Щоб оновити відбитки пальців, можна використовувати запит, подібний до такого:
UPDATE VPX_HOST SET EXPECTED_SSL_THUMBPRINT=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
UPDATE VPX_HOST SET host_ssl_thumbprint=' DE:55:42:C7:81:2D:FA:D8:3C:73:4B:94:35:54:47:96:17:87:51:FF' where ID=37;
Additional Information
Для отримання додаткової інформації див.: https://techdocs.broadcom.com/us/en/vmware-cis/vsphere/vsphere/6-5/vsphere-troubleshooting-6-5/troubleshooting-vcenter-server-and-the-vsphere-web-client/troubleshooting-vcenter-server-certificates/vsphere-ha-and-custom-ssl-certificates.html
Affected Products
VxRail SoftwareProducts
VxRail Appliance Family, VxRail SoftwareArticle Properties
Article Number: 000082193
Article Type: Solution
Last Modified: 11 Feb 2025
Version: 5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.