免責事項：これは英文の記事「Enabling ESXi host encryption fails with the error "CreateKey failed on key provider"」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

• vCenter 上で正常に KMS を構成後、ホスト暗号化が以下のエラーメッセージにより失敗する

A general runtime error occurred. Cannot generate key. CreateKey failed on key provider error code: QLC_ERR_GENERAL_ERROR. Check log for detail

• vCenter の /var/log/vmware/vpxd/vpxd.log で以下のエラーが出力される

YYYY-MM-DDTHH:MM:SSZ error vpxd[449299] [Originator@6876 sub=CryptoManagerKmipWrapper opID=SWI-#####] Failed to create key on KMS <KMS-SERVER:5696> - Server Error:Permission Denied, Explanation:DENIED
-->
YYYY-MM-DDTHH:MM:SSZ error vpxd[449299] [Originator@6876 sub=CryptoManagerKmipWrapper opID=SWI-#####] Failed to create key on KMS  <KMS-SERVER:5696> - Server Error:Permission Denied, Explanation:DENIED
-->
YYYY-MM-DDTHH:MM:SSZ warning vpxd[449299] [Originator@6876 sub=Default opID=SWI-#####] Failed to generate key on key provider KMS- Server Key, error 7:
--> Reason:
--> Failed to generate key on KMS KMS-SERVER: QLC_ERR_GENERAL_ERROR;
--> Failed to generate key on KMS KMS-SERVER: QLC_ERR_GENERAL_ERROR
--> Custom attribites: (null)

vCenter Server 8.0

証明書を使用した認証および暗号化を成功させるためには、パスワード保護(オプション)配下のユーザ名とパスワードを使用せずに新規の Key Management Server (KMS)を構築します。

本事象を解決するために以下の手順を実施します。

1. 新規の KMS エントリを追加: 新規の KMS サーバもしくはすでに追加された KMS サーバへの KMS サーバエントリを追加する。これをすることにより、証明書ベースの認証を使用した新規のコネクションが開始されます。
2. 接続性の確認: 新規のエントリが "接続済み" もしくは "健全" ステータスであることを確認
3. 古い KMS エントリの削除: ユーザ名とパスワードを使用した KMS エントリを削除する。これにより古い設定状態が削除され関連したエラメッセージが解決されます。