免責事項：これは英文の記事「Supervisor configuration operations failing after replacing vCenter certificate (313182)」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

vCenter 上の /var/log/vmware/wcp/wcpsvc.log に、不明な認証局（unknown certificate authority）に関する x509 エラーを含むログメッセージが複数表示されます。以下に 2 つの例を示します。

error wcp [kubelifecycle/master_node.go:1280] [opID=659cfc6a-########-####-####-####-########abfb] Failed to remove VMs from list view. Err Post "https://vcenter.example.local:443/sdk": x509: certificate signed by unknown authority
...
error wcp [storage/policy.go:87] [opID=upgrade-domain-c19] Failed to get list of cluster datastores. Err Post "https://hostname.example.com:443/sdk": x509: certificate signed by unknown authority`, I think that there was one API client (PBM client) that wasn't included when handling notification about certificate replacement"

この問題に関連するエラーのシグネチャは以下の通りです。

Err Post "https://vcenter.example.local:443/sdk": x509: certificate signed by unknown authority

これは、WCP サービスが vCenter の証明書を信頼できない状態であることを示しています。

vCenter 8.0U2 では、サービスを再起動せずに証明書を更新できる「無停止証明書更新 (non-disruptive certificate replacement) 」機能が実装されました。vSphere Supervisor を管理する wcpsvc もその対象サービスの一つです。

vCenter の証明書が更新されると、wcpsvc はディスク上の /etc/ssl/certs から信頼されたルート証明書を再読み込みし、vCenter への TLS 接続を開始しようとします。これは、Go 言語におけるシステム信頼ルートのキャッシュ制限を回避するための動作です。 (Add ability to reload root certificates)

しかし、まれにこの証明書の再読み込みで更新された vCenter の信頼済みルートバンドルが正しく検出されないことがあります。その結果、wcpsvc の vCenter クライアントが vCenter への TLS 接続を確立できなくなり、Supervisor の管理や vCenter との通信ができなくなります。

現時点で解決策はありません。この問題は将来のリリースで修正される予定です。

回避策:
この問題を回避するには、vCenter Server Appliance 上で wcpsvc を再起動してください。これにより、更新された証明書が強制的に再読み込みされます。

アプライアンス管理（VAMI）または UI から再起動する場合： Workload Control Plane サービスを再起動します。

vCenter に root としてログインしてコマンドで再起動する場合：
以下のコマンドを実行します。

vmon-cli -r wcp