Se você atualizar um host ESXi para o ESXi 6.5 ou posterior, o processo de atualização substituirá os certificados autoassinados (impressão digital) por certificados assinados pela VMCA. Se o host ESXi usar certificados personalizados, o processo de atualização manterá esses certificados, mesmo se esses certificados estiverem expirados ou inválidos.

Se você decidir não atualizar seus hosts para o ESXi 6.5 ou posterior, os hosts manterão os certificados que estão usando no momento, mesmo se o host for gerenciado por um sistema do vCenter Server que usa certificados VMCA.

O fluxo de trabalho de atualização recomendado depende dos certificados atuais.
Host provisionado com certificados de impressão digital
Se o seu host estiver usando certificados de impressão digital, ele receberá certificados VMCA automaticamente como parte do processo de atualização.
Observação: Não é possível provisionar hosts legados com certificados VMCA. Você deve atualizar esses hosts para o ESXi 6.5 mais tarde.
Host provisionado com certificados personalizados
Se o seu host estiver provisionado com certificados personalizados, geralmente certificados assinados por terceiros, esses certificados permanecerão em vigor durante a atualização. Altere o modo de certificado para Personalizado (Custom) para garantir que os certificados não sejam substituídos acidentalmente durante uma atualização de certificado posterior.
Observação: Se o seu ambiente estiver no modo VMCA e você atualizar os certificados do vSphere Client, todos os certificados existentes serão substituídos por certificados assinados pelo VMCA.

No futuro, o vCenter Server monitora os certificados e exibe informações, por exemplo, sobre a expiração do certificado, no vSphere Client.

Hosts provisionados com implantação automática
Os hosts que estão sendo provisionados pelo Auto Deploy sempre recebem novos certificados quando são inicializados pela primeira vez com o software ESXi 6.5 ou posterior. Quando você atualiza um host provisionado pelo Auto Deploy, o servidor do Auto Deploy gera uma solicitação de assinatura de certificado (CSR) para o host e a envia para o VMCA. VMCA armazena o certificado assinado para o host. Quando o servidor do Auto Deploy provisiona o host, ele recupera o certificado do VMCA e o inclui como parte do processo de provisionamento.
Você pode usar o Auto Deploy com certificados personalizados.

Consulte Usar certificados personalizados com implantação automática.