"OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]" というエラーがNSX Manager のデプロイで発生する

Products

VMware NSX

Issue/Introduction

免責事項：これは英文の記事「"OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]" error for NSX Manager deployment」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

NSX UIでNSX Managerの展開が次のエラーで失敗します。

OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]

NSX Manager ログ /var/log/proton/nsxapi.log に、次のようなエラーが表示されます。

2026-01-10T14:34:19.982Z ERROR ActivityWorkerPool-1-2 SfdmOvfCertificateValidator 8278 FABRIC [nsx@6876 comp="nsx-manager" errorCode="MP31703" level="ERROR" subcomp="manager"] untrusted_certificate. Error : [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ] 2026-01-10T14:34:19.983Z ERROR ActivityWorkerPool-1-2 DeploymentUnitActivityVMDeploy 8278 FABRIC [nsx@6876 comp="nsx-manager" errorCode="MP26050" level="ERROR" subcomp="manager"] VM Deployment having du id:DeploymentUnit/<UUID> and dui id:DeploymentUnitInstance/<UUID> failed for <UUID>. com.vmware.nsx.management.ovfops.exception.CertificateManifestValidationError: null at com.vmware.nsx.management.service_fabric.sfdm.ovf.SfdmOvfCertificateValidator.validateCertificateChain(SfdmOvfCertificateValidator.java:125) ~[?:?] at com.vmware.nsx.management.ovfops.validator.service.OvfCertificateValidator.validateCertificateContent(OvfCertificateValidator.java:68) ~[?:?] at com.vmware.nsx.management.service_fabric.sfdm.ovf.SfdmOvfCertificateValidator.validateCertificateContent(SfdmOvfCertificateValidator.java:58) ~[?:?] at com.vmware.nsx.management.ovfops.validator.service.OvfCertificateValidator.validateOvf(OvfCertificateValidator.java:79) ~[?:?] at com.vmware.nsx.management.service_fabric.sfdm.ovf.SfdmOvfCertificateValidator.validateOvf(SfdmOvfCertificateValidator.java:71) ~[?:?] at com.vmware.nsx.management.service_fabric.sfdm.vc.Vc60VmSfdmManager.validate(Vc60VmSfdmManager.java:72) ~[?:?] at com.vmware.nsx.management.service_fabric.sfm.deployment.service.DeploymentUnitActivityVMDeploy.phasePreVMDeploy(DeploymentUnitActivityVMDeploy.java:192) ~[?:?] 2026-01-10T14:34:20.002Z INFO ActivityWorkerPool-1-3 ActivityExecutor 8278 - [nsx@6876 comp="nsx-manager" level="INFO" subcomp="manager"] Phase execution started. Activity= Activity= 'DeploymentUnitActivityVMDeploy:<UUID>' entity= 'DeploymentUnitInstance/<UUID>', phase= 'Error', requestId= 'null', trackerId= 'null'.

この問題は、NSX Manager OVF の展開 (グリーンフィールド (新規作成)、Manager アプライアンスのサイズ変更、バックアップからのリストアなど) に関連するシナリオで発生する可能性があります。

Environment

VMware NSX 3.x, 4.0.x.

Cause

ビルドプロセス中に NSX Manager (統合アプライアンス) OVF の署名に使用される署名証明書は、2026 年 1 月 3 日に期限切れになりました。その結果、NSX UI/API を使用した新しい NSX Manager (Unified Appliance) 展開ワークフローは失敗します。

Resolution

この問題は Broadcom downloads にて提供中の VMware NSX 4.1.x で解決済みです。

この問題を回避するには、NSX ManagerでOVF検証を無効にする以下の手順に従ってください。
この手順を実行しても本番環境には影響ありません。
回避策の持続性:

この設定はマネージャーを再起動しても保持されます。
この設定は、NSX のアップグレード後も保持されます。
設定は、マネージャーの新規インストールまたは再デプロイ時にのみデフォルトにリセットされます。この場合、スクリプトを再度実行する必要があります。

KBの下部にある添付のスクリプトをダウンロードしてください

スクリプト: disable_ovf_validation_flag.sh (MD5 : 9e44c678a035bedd42f53a15626b3919)

2. スクリプトを3つのNSXマネージャすべてにコピーします。

3. NSX Managerにrootユーザーとしてログインし、3つのManagerすべてでスクリプトを実行します。

bash /tmp/disable_ovf_validation_flag.sh

If the script has executed successfully, the following will be outputted to screen:

[INFO] Starting OVF validation flag update script
[INFO] Timestamp: Thu Jan 1 19:15:49 UTC 2026[INFO] Flag updated successfully[INFO] ===================================================================
[INFO] SUCCESS: Flag update completed successfully
[INFO] ===================================================================[WARN] Please run this script on the remaining Manager node(s) in the cluster.

If the script has failed, the following will be outputted to screen:

[INFO] ===================================================================
[INFO] FAILURE: Script execution failed
[INFO] ===================================================================

4. スクリプトが成功した場合は、デプロイメント操作に進みます。

5. マネージャーの展開には、証明書の検証をスキップする回避策が適用されたことを確認する次のログが含まれます:

In the NSX Manager log file /var/log/proton/nsxapi.log a message similar to this example will be observed

2026-01-30T06:25:11.964Z INFO ActivityWorkerPool-1-14 SfdmOvfCertificateValidator 77630 FABRIC [nsx@6876 comp="nsx-manager" level="INFO" subcomp="manager"] Skipping ovf certificate/manifest validation for [<Manager-name>].

問題の再発を防ぐため、この回避策はそのままにしておくことができます。

回避策を元に戻す場合は、以下の手順に従ってください。

KBの下部にある添付のスクリプトをダウンロードしてください

スクリプト: enable_ovf_validation_flag.sh (MD5 : 4e0c130f7c4aeae8b825c17735678836)

2. スクリプトを3つのNSXマネージャすべてにコピーします。

3. NSX Managerにrootユーザーとしてログインし、3つのManagerすべてでスクリプトを実行します。

bash /tmp/enable_ovf_validation_flag.sh

スクリプトが正常に実行されると、次の内容が画面に出力されます:

[INFO] Starting OVF validation flag update script
[INFO] Timestamp: Thu Jan 1 19:15:49 UTC 2026
[INFO] Flag updated successfully
[INFO] ===================================================================
[INFO] SUCCESS: Flag update completed successfully
[INFO] ===================================================================
[WARN] Please run this script on the remaining Manager node(s) in the cluster.

スクリプトが失敗した場合、次の内容が画面に出力されます:

[INFO] ===================================================================
[INFO] FAILURE: Script execution failed
[INFO] ===================================================================

回避策を適用または元に戻してもスクリプトが失敗した場合は、画面出力とManagerのログをキャプチャし、このKB記事を参照してBroadcomサポートにサポートケースを作成してください。詳細は Creating and managing Broadcom support cases を参照してください。

Additional Information

NSX Edge 関連のデプロイの問題については、"OVF certificate validation failed. Error: [VALIDATION_ERROR: CERTIFICATE_EXPIRED; ]" error for NSX Edge Install/Redeploy/Resize.

Attachments

disable_ovf_validation_flag.sh get_app

enable_ovf_validation_flag.sh get_app