Symptoms:
免責事項：これは英文の記事「"Certificate validation failed during pre-check" error while upgrading from vCenter Server 6.5 to 6.7 or later 」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。 

• アップグレード前チェックが「アップグレード前チェック中に証明書の検証に失敗しました (Certificate validation failed during pre-upgrade check)」というエラーで失敗する。

• requirements-upgrade-runner.log ファイルに次のようなエントリが記録される。

'description': {'id': 'upgrade.sso.precheck.error.description', 'translatable': 'Certificate has expired', 'localized': 'Certificate has expired'}, 'problemId': None, 'resolution': {'id': 'upgrade.sso.precheck.error.resolution', 'translatable': 'Regenerate certificates for sso and try again', 'localized': 'Regenerate certificates for sso and try again'}}]}},

VMware vCenter Server 6.7.x
VMware vCenter Server Appliance 6.5.x
VMware vCenter Server 6.5.x
VMware vCenter Server Appliance 6.7.x
VMware vCenter Server 7.0.x

この問題を解決するには、STS_INTERNAL_SSL_CERT を MACHINE_SSL_CERT ストアのマシン証明書に置き換えます。

STS_INTERNAL_SSL_CERT を MACHINE_SSL_CERT ストアのマシン証明書に置き換えるプロセス：

1. 次のコマンドを実行して、Lookup 証明書の有効期限が切れているかどうかを確認します。
   
   Openssl s_client -connect <PSC/VCSA-FQDN/IP>:7444 | less

a. 出力の「-----BEGIN CERTIFICATE-----」で始まる内容を「-----END CERTIFICATE-----」までコピーします。
b. 7444-lookup.txt としてファイルに保存し、その場所に移動して、このファイルの拡張子を 7444-lookup.crt に変更します。
c. 次に、この 7444-lookup.crt ファイルを開き、証明書が有効期限切れかどうか確認します。
d. 有効期限が切れている場合は、手順 2. に従います。
 

2. STS_INTERNAL_SSL_CERT に保存されている期限切れの 7444 証明書を、MACHINE_SSL_CERT ストアのマシン証明書に置き換えます。1 つずつ表示されるように、以下のコマンドを実装します。

アプライアンス:
/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT > /var/tmp/MachineSSL.crt
/usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store MACHINE_SSL_CERT --alias __MACHINE_CERT > /var/tmp/MachineSSL.key
/usr/lib/vmware-vmafd/bin/vecs-cli entry getcert --store STS_INTERNAL_SSL_CERT --alias __MACHINE_CERT > /var/tmp/sts_internal_backup.crt
/usr/lib/vmware-vmafd/bin/vecs-cli entry getkey --store STS_INTERNAL_SSL_CERT --alias __MACHINE_CERT > /var/tmp/sts_internal_backup.key
/usr/lib/vmware-vmafd/bin/vecs-cli entry delete --store STS_INTERNAL_SSL_CERT --alias __MACHINE_CERT -y
/usr/lib/vmware-vmafd/bin/vecs-cli entry create --store STS_INTERNAL_SSL_CERT --alias __MACHINE_CERT --cert /var/tmp/MachineSSL.crt --key /var/tmp/MachineSSL.key

Windows：

管理者としてコマンド プロンプトを開き、cd C:\Program Files\VMware\vCenter Server\vmafdd に移動します。

vecs-cli.exe entry getcert --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output C:\Windows\Temp\MachineSSL.crt
vecs-cli.exe entry getkey --store MACHINE_SSL_CERT --alias __MACHINE_CERT --output C:\Windows\Temp\MachineSSL.key
vecs-cli.exe entry getcert --store STS_INTERNAL_SSL_CERT --alias __MACHINE_CERT --output C:\Windows\Temp\sts_internal_backup.crt
vecs-cli.exe entry getkey --store STS_INTERNAL_SSL_CERT --alias __MACHINE_CERT --output C:\Windows\Temp\sts_internal_backup.key
vecs-cli.exe entry delete --store STS_INTERNAL_SSL_CERT --alias __MACHINE_CERT -y
vecs-cli.exe entry create --store STS_INTERNAL_SSL_CERT --alias __MACHINE_CERT --cert C:\Windows\Temp\MachineSSL.crt --key C:\Windows\Temp\MachineSSL.key
 

3. vCenter Server のサービスを再起動します。
   • service-control --stop --all
   • service-control --start --all
4. Lookup Service 証明書が有効であるかどうかを検証するために、手順 1 に記載されている openssl を再実行します。
5. vCenter Server のアップグレードを再試行します。
6. Lookup Service 証明書が有効にもかかわらず、同じ問題が発生している場合は、VECS と SSO エンドポイントの証明書で有効期限が切れている可能性を確認し、その証明書を置き換えます。

• 以下のコマンドを再度実行して、Lookup 証明書が有効かどうかを確認します。

openssl s_client -connect <PSC/VCSA-FQDN/IP>:7444 | less