ESXi ホストを ESXi 6.5 以降にアップグレードすると、アップグレード プロセスで自己署名(サムプリント)証明書が VMware 認証局 (VMCA) 署名付き証明書に置き換えられます。ESXi ホストがカスタムの証明書を使用している場合は、証明書が期限切れまたは無効であっても、アップグレード プロセスではその証明書が保持されます。

推奨されるアップグレード ワークフローは、使用している証明書によって異なります。
サムプリント証明書を使用してプロビジョニングされたホスト
ホストでサムプリント証明書が使用されている場合、アップグレード プロセスの一部として VMCA 証明書が自動的に割り当てられます。
注: VMCA 証明書を使用してレガシー ホストをプロビジョニングすることはできません。これらのホストは ESXi 6.5 以降にアップグレードする必要があります。
カスタムの証明書を使用してプロビジョニングされたホスト
カスタムの証明書(通常はサードパーティの CA 署名付き証明書)を使用してホストがプロビジョニングされている場合、アップグレード プロセスでこれらの証明書は維持されます。証明書の更新時に誤って置き換えられないように、証明書モードを [カスタム] に変更してください。
注: VMCA モードの環境の場合、 vSphere Client から証明書を更新すると、既存の証明書が VMCA で署名された証明書に置き換えられます。

その後、vCenter Server によって証明書が監視され、証明書の有効期限などの情報が vSphere Client に表示されます。

Auto Deploy でプロビジョニングされたホスト
Auto Deploy でプロビジョニングされるホストでは、 ESXi 6.5 以降のソフトウェアを最初に起動したときに常に新しい証明書が割り当てられます。Auto Deploy でプロビジョニングされたホストをアップグレードする場合、Auto Deploy サーバによってホストの証明書署名要求 (CSR) が生成され、VMCA に送信されます。VMCA には、ホストの署名証明書が保存されています。Auto Deploy サーバがホストをプロビジョニングすると、VMCA から証明書を取得し、プロビジョニング プロセスの一部としてその証明書を含めます。
Auto Deploy は、カスタム証明書とともに使用できます。