VxRail:测试证书指纹的运行状况检查失败

摘要: 运行状况检查验证 SSL 指纹失败或存在 SSL 指纹不匹配的情况。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

症状

测试“thump”是一系列运行状况检查之一,可在升级之前从 VxVerify 或 PxVerify 运行。

此检查尝试验证 vSphere 环境使用的 SSL 指纹,以确保它们一致。
 

测试结果 结果代码     结果解释
通过 0 SSL 指纹匹配
Warning 1 三个指纹之间存在不匹配。
当前用户无法读取 VxRail Manager (VxRM) server.crt 文件。
如果无法运行 SSL 指纹查询,这也会发出警告。
Failure 2 SSL 指纹不匹配。
严重 3 此测试没有严重结果。


为便于阅读,摘要报告中未列出每个通过的测试。

#========================#======#=========#====================================================================#==============#
|  Hostname / Category   |Status  Dell_KB |  Warnings or Failures, unless tests Passed                         ; Product S.N. |
#========================#======#=========#====================================================================#==============#
| VxRM                   | Failure  53279 | thump: VxRM thumbprint mismatch                                                   |

原因

有关测试结果的详细信息,请参阅 VxVerify 日志:  

  • /tmp/vxv/vxv.log

VxRail 7.0 和 8.0

在 VxVerify3 或 4 中,“砰砰”测试显示  

  • Server.crt 是 VxRM 上的 server.crt 文件的 SSL 指纹值(SHA1 和 SHA256) (/etc/vmware-marvin/ssl/server.crt)
  • 从 vCenter 中的 VxRail 群集自定义属性(即 SHA1 或 SHA256)读取群集指纹。
  • 服务器指纹(SHA1 和 SHA256)直接从 VxRM 虚拟机上的 localhost 套接字读取。 

VxVerify4 vxv.log 中的一个示例显示了来自 VC 的群集指纹应如何与其他 SHA1 SHA256 指纹匹配:

2025-04-02 12:39:47-INFO     [thump_cluster] Reading Cluster SSL Thumbprint
2025-04-02 12:39:47-INRO     [thump] Server.crt SHA256 thumbprint:   8E5507DFB2729431331C37FB59CAAB2838CF82B06AC854075C2FF5A915080243
2025-04-02 12:39:47-INFO     [thump] VxRM Server SHA256 thumbprint:  8E5507DFB2729431331C37FB59CAAB2838CF82B06AC854075C2FF5A915080243
2025-04-02 12:39:47-INFO     [thump] VC extensionManager thumbprint: 8E5507DFB2729431331C37FB59CAAB2838CF82B06AC854075C2FF5A915080243
2025-04-02 12:39:47-INFO     [thump] Cluster thumbprint from VC API: 8E5507DFB2729431331C37FB59CAAB2838CF82B06AC854075C2FF5A915080243
2025-04-02 12:39:47-INFO     [thump] Server.crt  SHA1 thumbprint:    5FBE9F612518FACDB3FB1FF591ADBBB98634B13A
2025-04-02 12:39:47-INFO     [thump] VxRM Server  SHA1 thumbprint:   5FBE9F612518FACDB3FB1FF591ADBBB98634B13A
2025-04-02 12:39:47-INFO     [thump] SHA256 Thumbprints matched
 

解决方案

server.crt 不匹配的一个原因是 VxRail 4.7 (VXP-30747) 上的已知问题,可以手动解决(见下文)。
使用 VxVerify 运行 --fix 参数可以更正 VxRM 4.x server.crt 文件,或者在使用核心测试配置文件时更正(请参阅 VxRail:如何运行 VxRail Verify 工具)。
或者,如果 server.crt 与群集和 VxRM 指纹不匹配,则以下命令可以使用正在运行的证书详细信息更新 server.crt:

openssl pkcs12 -in /etc/vmware-marvin/ssl/server.pfx -clcerts -nokeys -passin pass:$(grep "bio.SSL.password" /usr/lib/vmware-marvin/marvind/conf/catalina.properties|sed "s/bio.SSL.password=//g") -out /etc/vmware-marvin/ssl/server2.crt ; egrep -iv "Bag Attributes|localKeyID|subject=|issuer=" /etc/vmware-marvin/ssl/server2.crt > /etc/vmware-marvin/ssl/server.crt ; truncate -s -1 /etc/vmware-marvin/ssl/server.crt ; rm /etc/vmware-marvin/ssl/server2.crt

其他不匹配项必须由戴尔支持进行调查。

其他信息

由于缺少读取“crt”文件的权限,“mystic”用户无法运行“thump”测试。
如果从命令行管理程序运行 VxVerify,请使用 root 用户( 使用 su 或 sudo)进行 VxVerify。

受影响的产品

VxRail, VxRail Appliance Series, VxRail Software

产品

VxRail Appliance Family, VxRail Appliance Series
文章属性
文章编号: 000053279
文章类型: Solution
上次修改时间: 25 11月 2025
版本:  11
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。