このエラーは、vCenter Service Appliance (VCSA) の STS 証明書の有効期限が近づいていることが原因で発生します。

vSphere Client UI を使用して STS 署名証明書を更新するには、以下の手順に従います。

注意: 変更を行う前に、環境内のすべての vCenter Server のオフライン (コールド) スナップショットを作成してください。
詳細については「vCenter Server 仮想マシンのスナップショットのベストプラクティス」を参照してください。

1. vSphere Client (https://vcenter_server_ip_address_or_fqdn/ui) に接続します。
2. ホームメニューから、管理を選択します。
3. [証明書] の下で、[証明書の管理] をクリックします。
4. STS 署名証明書カードの [アクション] ドロップダウンから、次の内容が表示されます。
   1. vCenter 証明書を使用して更新 （推奨）
      • 「vCenter Server 証明書を使用して更新」ダイアログ ウィンドウで「更新」ボタンをクリックします。
        •  一部の環境では、「更新」ボタンが「強制的に更新」ボタンに置き換えられている場合があります。
        • 「更新」ボタンをクリックすると、「強制的に更新」ボタンを含む新しい「vCenter Server 証明書を使用して更新」ダイアログが表示される場合があります。
        • 「強制的に更新」をクリックすると、すべての VCSA システムを再起動する必要があり、それらのシステムが使用できなくなる可能性があります。
        • すべての VCSA システムを再起動できない場合、または「強制的に更新」の結果に懸念がある場合は、「キャンセル」を押してください。
          • [キャンセル] を押すと、元のダイアログに戻ります。必要に応じて KB 「"Signing certificate is not valid" or "No healthy upstream" error in vCenter Server Appliance」の手順に従ってください。
      • 「更新」操作を実行すると、サードパーティ製/カスタム証明書が vCenter Server が発行した証明書に置き換えられます。コンプライアンス上の理由でサードパーティ製/カスタム証明書が必要な場合は、vSphereのコンプライアンスが維持されなくなります。
        
        
   2. 証明書をインポートして置き換え（カスタム証明書やサードパーティ証明書などの証明書を提供するため）:
      1. トークンの署名に使用する署名証明書チェーンと秘密鍵を含むPEMファイルをインポートします。
         チェーンには、デジタル署名キーの使用がマークされたリーフ証明書と対応する秘密鍵を含む有効な証明書チェーンが含まれている必要があります。
         
         
5. インポートと置換/更新アクションが正常に完了すると、UI にすべての VCSA システムの再起動が必要であると表示される場合があります。
   その場合、SSO ドメイン内のすべての VCSA システムを手動で再起動する必要があります。

STS 証明書の詳細については、バージョンに応じて以下のリンク先の記事を参照してください。
VCSA 7.0 - vSphere Client を使用した vCenter Server STS 証明書の更新
VCSA 8.0 - vCenter Server Security Token Service の管理

影響/リスク:
STS 署名証明書を置き換えずに期限切れになると、vCenter は機能しなくなります。