免責事項：これは英文の記事 「After replacing the default certificate on ESXi hosts, vSphere HA reports "Agent Unreachable state" or is stuck in Election State」の日本語訳です。
記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。
最新情報は英語版の記事で参照してください。

• この問題は、デフォルト証明書の置換後にのみ発生します
• クラスタ内の1台のホストはHA用に構成されますが、他のノードは「HAエージェントにアクセスできません」と報告するか、選出状態のままになります。
• プライマリノードESXi - /var/run/log/fdm.log (正常にHAが構成されたホスト)

  YYYY-MM-DDTHH:MM:SS.MSZ Db(167) Fdm[9705572]: [Originator@6876 sub=Cluster opID=WorkQueue-59d0aa06] (VMFS) host-#### @ <REDACTED_MAC_ADDRESSES> is ALIVE
  YYYY-MM-DDTHH:MM:SS.MSZ In(166) Fdm[9705577]: [Originator@6876 sub=Cluster opID=WorkQueue-60c9d31e] Trusted host not found. Failing to verify the host; host: (<REDACTED_IPS>:49516)
  YYYY-MM-DDTHH:MM:SS.MSZ Db(167) Fdm[9705577]: [Originator@6876 sub=Cluster opID=WorkQueue-60c9d31e] Blacklisting ip address <REDACTED_IPS> for 60 seconds
  YYYY-MM-DDTHH:MM:SS.MSZ Db(167) Fdm[9705577]: [Originator@6876 sub=Cluster opID=WorkQueue-60c9d31e] IP <REDACTED_IPS> marked bad for reason Invalid Credentials
  YYYY-MM-DDTHH:MM:SS.MSZ Wa(164) Fdm[9705577]: [Originator@6876 sub=Cluster opID=WorkQueue-60c9d31e] Failed to verify host  (<REDACTED_IPS>) - closing connection
  YYYY-MM-DDTHH:MM:SS.MSZ Db(167) Fdm[9705577]: [Originator@6876 sub=Message opID=WorkQueue-60c9d31e] Accept completion callback error N5Vmomi5Fault13SecurityError9ExceptionE(Fault cause:

VMware vCenter Server 8.x
VMware ESXi 8.x

vSphere HAは、ホストがHAクラスタに参加するのを許可する際、信頼性を確保するためにホスト証明書を使用します。
証明書の検証に問題があると、ホストが「信頼されていない」とマークされ、結果としてHA構成タスクが失敗する原因となります。

• vSphere環境へのCA署名付き証明書のインストールおよび構成に関するKB（Configuring OpenSSL for installation and configuration of CA signed certificates in the vSphere environment）に詳述されている要件に従い、必須フィールドを含むカスタム証明書を再生成します。
• ESXiホストのデフォルト証明書をカスタム証明書に置き換える手順（Replacing the Default ESXi Certificate with a Custom Certificate）を参照し、該当ESXiホストのカスタム証明書を置換します。
• HAクラスタを正常に機能させるために、vCenter Serverにホストを再接続、および該当ホストのHAの再構成が必要となる場合があります。