PowerProtect Data Manager – Chyba 403: Server Certificate is not trusted" při pokusu o povolení možnosti "Secure" pro připojení SSL

Po nakonfigurování zabezpečeného připojení a kliknutí na tlačítko "Uložit" pro uložení nastavení adresáře ve webové konzoli se zobrazí následující chyba:

"403: Server Certificate is not trusted"

Adresa serveru zadaná v nastavení Edit Directory je nástroj pro vyrovnávání zatížení. Nástroj pro vyrovnávání zatížení může směrovat požadavek služby AD na některý z několika různých řadičů domény služby AD.
Pokud je jako adresa serveru zadán plně kvalifikovaný název domény (FQDN) konkrétního řadiče domény, lze konfiguraci uložit.
Každý řadič domény má certifikát SSL, který obsahuje název nástroje pro vyrovnávání zatížení a jeden plně kvalifikovaný název domény řadiče domény v poli SubjectAlternativeNames.

Nástroj PowerProtect Data Manager stáhne certifikát, aby ověřil, zda má v budoucnu datum vypršení platnosti a správný formát certifikátu.
Během ukládání PowerProtect Data Manager znovu zkontroluje připojení k serveru, ze kterého byl certifikát získán, a ověří, zda otisk odpovídá staženému certifikátu.
Tato kontrola selže, protože nástroj pro vyrovnávání zatížení připojil klienta PowerProtect Data Manager k jinému serveru s jiným certifikátem.

1) Na stránce Administration Access> Control-Directory> Settings upravte konfiguraci.
2) Změňte adresu serveru na plně kvalifikovaný název domény jednoho z řadičů domény AD, který je možným cílem nástroje pro vyrovnávání zatížení.
3) Kliknutím na tlačítko Ověřit importujte certifikát.
4) Opakujte kroky (2) a (3) pro každý jiný řadič domény AD, který je možným cílem z adresy nástroje pro vyrovnávání zatížení.
5) Změňte adresu serveru zpět na název nástroje pro vyrovnávání zatížení.
6) Klikněte na tlačítko Uložit.
Dalším možným řešením může být:
1) Vytvořte jeden certifikát pro AD, který obsahuje všechny možné plně kvalifikované názvy domén řadiče domény a plně kvalifikovaný název domény nástroje pro vyrovnávání zatížení v poli SubjectAlternativeNames. 
2) Aktualizujte řadiče domény pomocí nového certifikátu.
3) Nakonfigurujte nastavení řízení přístupu pro správu> a> adresář tak, aby používala název nástroje pro vyrovnávání zatížení.
4) Klikněte na tlačítko Ověřit .
5) Uložte konfiguraci.

K zobrazení obsahu importovaného certifikátu na serveru PowerProtect Data Manager použijte ppdmtool a openssl:
1) Přihlaste se na server PowerProtect Data Manager pomocí SSH jako správce.
2) Spustit:

ppdmtool -l

Každý záznam v uvedeném výstupu má čtyři sloupce oddělené čárkami jako v tomto příkladu:

mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry,
Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6

Výstupní formát je: Alias, datum, typ, otisk prstu
Alias certifikátu začíná plně kvalifikovaným názvem domény na levé straně a končí první čárkou:

mydc.company.com:636:host

3) Exportujte certifikát pomocí ppdmtool

ppdmtool -exportcert -a mydc.company.com:636:host

Soubor mydc.company.com:636:host.pem se vytvoří v aktuálním adresáři.
4) K zobrazení obsahu certifikátu použijte openssl:

openssl x509 -in mydc.company.com:636:host.pem -text -noout

Výstup obsahuje obsah pole SubjectAlternativeNames pro ověření obsahu certifikátu.