Проблемы при замене ssl сертификатов компонентов vsphere.

Доброго времени суток.

Компоненты vsphere разнесены по vm: vm1=SSO+webclient, vm2=webclient (еще1), vm3=vcenter+все остальные компоненты (inventory service, VUM, syslog collector и т.д.), vm4=vcenter в такой же комплектации как и vm3.

Используется VMware certificate automation tool+offline RootCA+online SubCA.

Были сгенерированы запросы и приват ключи (с помощью ssl-tool) для каждого компонента на каждой машине, были выданы сертификаты и составлены .pem файлы, все по статьям VMware KB: Deploying and using the SSL Certificate Automation Tool 5.5 и VMware KB: Generating certificates for use with the VMware SSL Certificate Automation Tool . Также в статьях было указано установить корневой сертификат в trusted auth store, сертификат SubCA - в промежуточный стор, у меня перед этапом замены сертификатов оказались уже установлены (в trusted - root сертификат, в intermediate - и root и sub сертификаты).

Далее использовался planner, где было выбрано "спланировать замену для всех компонентов", собственно первый 2 шага - замена сертификата для SSO и обновление доверия Inventory Service к SSO прошли успешно. 3й шаг - установка SSL сертификата Inventory Service падает с ошибкой:

[.] The supplied certificate chain is valid.

[Wed 04/30/2014 - 13:03:33.03]: Last operation update Inventory Service SSL cert

ificate failed :

[Wed 04/30/2014 - 13:03:33.05]: Cannot determine if Inventory Service is registe

red with Single Sign-On - errorlevel is 1

вот что пишет в логах:

[Wed 04/30/2014 - 12:59:35.76]: The Inventory Service is installed at "D:\Program Files\VMware\Infrastructure\Inventory Service"

[Wed 04/30/2014 - 12:59:35.85]: Rollback path is "C:\ssl-tool\backup"

[Wed 04/30/2014 - 12:59:35.87]: Rollback path is "C:\ssl-tool\backup\IS"

[Wed 04/30/2014 - 12:59:36.15]: Determining whether Inventory Service is registered with Single Sign-On ...

Intializing registration provider...

Getting SSL certificates for https://vSSO.domain.local:7444/lookupservice/sdk

com.vmware.vim.vmomi.core.exception.CertificateValidationException: Server certificate chain not verified

Return code is: SslHandshakeFailed

1

[Wed 04/30/2014 - 12:59:39.11]: "Cannot determine if Inventory Service is registered with Single Sign-On - errorlevel is 1"

[Wed 04/30/2014 - 12:59:39.11]: Exiting Inventory Service update SSL certificate due to errors

subject alternative name содержит fqdn, короткое имя и ip, остальные поля вроде также не содержат ошибок.

используется администратор: administrator@vsphere.local, пароль не содержит спец символов.

Кто-то что-то подскажет?