"OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]"というエラーがNSX Edge のインストール/再デプロイ/サイズ変更時に発生する
search cancel

"OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]"というエラーがNSX Edge のインストール/再デプロイ/サイズ変更時に発生する

book

Article ID: 424287

calendar_today

Updated On:

Products

VMware NSX

Issue/Introduction

免責事項:これは英文の記事「"OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]" error for NSX Edge Install/Redeploy/Resize」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

NSX UI で、NSX Edge の展開が次のエラーで失敗します。

OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]

  • API 経由の Edge の状態

    GET https://NSX_Manager/api/v1/transport-nodes/{{tn-id}}/state
    {
      "transport_node_id": "<UUID>",
      "maintenance_mode_state": "DISABLED",
      "node_deployment_state": {
        "state": "VM_DEPLOYMENT_FAILED",
        "failure_message": "OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]",
        "failure_code": 16020
      },
      "state": "pending"
    }

  • NSX Manager のログ /var/log/proton/nsxapi.log に以下の例のようなエラーが表示されます。

2026-01-30T05:40:23.405Z ERROR ActivityWorkerPool-1-3 SfdmOvfCertificateValidator 77630 FABRIC [nsx@6876 comp="nsx-manager" errorCode="MP31703" level="ERROR" subcomp="manager"] untrusted_certificate. Error : [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]

2026-01-30T05:40:23.405Z ERROR ActivityWorkerPool-1-3 DeploymentUnitActivityVMDeploy 77630 FABRIC [nsx@6876 comp="nsx-manager" errorCode="MP26050" level="ERROR" subcomp="manager"] VM Deployment having du id:DeploymentUnit/<UUID> and dui id:DeploymentUnitInstance/<UUID> failed for /infra/sites/default/enforcement-points/default/edge-transport-node/<Edge UUID>.com.vmware.nsx.management.ovfops.exception.CertificateManifestValidationError: null
        id=DeploymentUnitInstance/<UUID>, deploymentUnitId=DeploymentUnit/<UUID>, hostId=null, entityId=, prevEntityId=, runningVersion=<NSX-Version>, deploymentProgressState=DEPLOYMENT_FAILED, deploymentGoalState=ENABLED, internalLastKnownOSVersion=null, agentId=null, errorId=0, errorMessage=OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ], scxInstalled=false] to DEPLOYMENT_FAILED:OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]

SDDC Manager UI で、NSX Edge のデプロイ/NSX Edge の拡張が次のエラーで失敗します。

  • Description: Deploy NSX Edge Node VM
    Progress Messages: Failed to deploy NSX Edge ####### on ######.#####.#####
    Failed to undo NSX Edge ######.#####.##### deployment on ######.#####.#####
    Error

    Message: Failed to deploy NSX Edge ####### on ######.#####.#####
    Remediation Message:
    Cause: Edge node ###### creation failed, node state is pending, VM deployment state is VM_DEPLOYMENT_FAILED


  • SDDC Manager UI では、domainmanager.log に次のエラーが見つかります。

    /var/log/vmware/vcf/domainmanager/domainmanager.log
    ======================================================================================
    ####-##-##T##:##:##.###+#### DEBUG [vcf_dm,################################,24ac] [c.v.v.c.f.p.n.a.CreateNsxtEdgeNodeVmAction,dm-exec-6]
     Node state = pending, deployment state = {"failureCode":16020,"failureMessage":"OVF certificate validation failed. Error: [VALIDATION_ER
    ROR: CERTIFICATE_EXPIRED; ]","state":"*****","__dynamicStructureFields":{"fields":{},"name":"struct"}}, depl progress = /%, inProgress =
    false
    ####-##-##T##:##:##.###+#### DEBUG [vcf_dm,################################,24ac] [c.v.v.c.f.p.n.h.NsxtCommonOperations,dm-exec-6]  Finis
    hed waiting for Edge node <edge-hostname> to become ready, currentState is {"state":"pending","maintenanceModeState":"DISABLED","nodeDeploymentSt
    ate":{"failureCode":16020,"failureMessage":"OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]","state":
    "*****","__dynamicStructureFields":{"fields":{},"name":"struct"}},"transportNodeId":"########-####-####-####-############","__dynamicStru
    ctureFields":{"fields":{},"name":"struct"}}

vSphere UI 経由の NSX Edge 9.x のデプロイが次のエラーで失敗します: 

Environment

VMware NSX Edge 3.x, 4.x & 9.x
VMware Cloud Foundation

 

Cause

ビルド プロセス中に Edge OVF の署名に使用された署名証明書は、2026 年 1 月 3 日に期限切れになりました。その結果、NSX UI/API を使用した新しい Edge のインストールや既存の Edge の再デプロイ/サイズ変更ワークフローは失敗します。

Resolution

これは、VMware NSX に影響する既知の問題です。

この問題を回避するには、NSX ManagerでOVF検証を無効にする以下の手順に従ってください。
この手順を実行しても本番環境には影響ありません。
回避策の持続性:

  • この設定はマネージャーを再起動しても保持されます。
  • この設定は、NSX のアップグレード後も保持されます。
  • 設定は、マネージャーの新規インストールまたは再デプロイ時にのみデフォルトにリセットされます。この場合、スクリプトを再度実行する必要があります。
  1. KBの下部にある添付のスクリプトをダウンロードしてください 

           Script: disable_ovf_validation_flag.sh  (MD5 : 9e44c678a035bedd42f53a15626b3919) 

     2. スクリプトを3つのNSXマネージャすべてにコピーします。

     3. NSX Managerにrootユーザーとしてログインし、3つのManagerすべてでスクリプトを実行します。

     bash /tmp/disable_ovf_validation_flag.sh

スクリプトが正常に実行されると、次の内容が画面に出力されます。

[INFO] Starting OVF validation flag update script
[INFO] Timestamp: Thu Jan  1 19:15:49 UTC 2026
[INFO] Flag updated successfully
[INFO] ===================================================================
[INFO] SUCCESS: Flag update completed successfully
[INFO] ===================================================================
[WARN] Please run this script on the remaining Manager node(s) in the cluster.

スクリプトが失敗した場合、次の内容が画面に出力されます。

[INFO] ===================================================================
[INFO] FAILURE: Script execution failed
[INFO] ===================================================================

    4. スクリプトが成功した場合は、デプロイ操作に進みます。

    • 新しい Edge の展開が失敗した場合は、展開を再試行する前に Edge を削除してください。
    • 既存の Edge の再デプロイメントが失敗した場合は、再デプロイメントを再試行してください。

    5. Edge のインストールまたは再展開には、証明書の検証をスキップする回避策が適用されたことを確認する次のログが含まれます。

NSX Managerのログファイル/var/log/proton/nsxapi.logには、この例のようなメッセージが表示されます。

2026-01-30T06:25:11.964Z  INFO ActivityWorkerPool-1-14 SfdmOvfCertificateValidator 77630 FABRIC [nsx@6876 comp="nsx-manager" level="INFO" subcomp="manager"] Skipping ovf certificate/manifest validation for [<Edge-name>].

問題の再発を防ぐため、この回避策はそのままにしておくことができます。
回避策を元に戻す場合は、以下の手順に従ってください。 

  1. KBの下部にある添付のスクリプトをダウンロードしてください  

           スクリプト: enable_ovf_validation_flag.sh  (MD5 : 4e0c130f7c4aeae8b825c17735678836) 

     2. スクリプトを3つのNSXマネージャすべてにコピーします。

     3. NSX Managerにrootユーザーとしてログインし、3つのManagerすべてでスクリプトを実行します。

          bash /tmp/enable_ovf_validation_flag.sh

        スクリプトが正常に実行されると、次の内容が画面に出力されます:

[INFO] Starting OVF validation flag update script
[INFO] Timestamp: Thu Jan  1 19:15:49 UTC 2026
[INFO] Flag updated successfully
[INFO] ===================================================================
[INFO] SUCCESS: Flag update completed successfully
[INFO] ===================================================================
[WARN] Please run this script on the remaining Manager node(s) in the cluster.


スクリプトが失敗した場合、次の内容が画面に出力されます:

[INFO] ===================================================================
[INFO] FAILURE: Script execution failed
[INFO] ===================================================================


回避策を適用または元に戻してもスクリプトが失敗した場合は、画面出力とManagerのログをキャプチャし、このKB記事を参照してBroadcomサポートにサポートケースを作成してください。詳細については、Creating and managing Broadcom support cases を参照してください。

Additional Information

NSX Manager 関連のデプロイメントの問題については、 "OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]" error for NSX Manager deployment を参照してください。

Attachments

disable_ovf_validation_flag.sh get_app
enable_ovf_validation_flag.sh get_app
Powered by Wolken Software