PowerProtect Data Manager – Fejl "403: Der er ikke tillid til servercertifikatet", når du forsøger at aktivere indstillingen "Sikker" for SSL-forbindelse
Summary: Fejl "403: Servercertifikatet er ikke pålideligt" rapporteres i webkonsollen, når Active Directory-konfigurationen gemmes.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Når du har konfigureret 'Sikker' forbindelse og klikket på knappen 'Gem' for at gemme mappeindstillinger i webkonsollen, rapporteres følgende fejl:
Hvis en bestemt domænecontrollers fuldt kvalificerede domænenavn (FQDN) angives som "serveradresse", kan konfigurationen gemmes.
Hver domænecontroller har et SSL-certifikat, der indeholder load balancer-navnet og ét domænecontroller-FQDN i feltet "SubjectAlternativeNames".
"403: Server Certificate is not trusted"'Serveradressen', der leveres i indstillingerne 'Rediger bibliotek', er en belastningsbalancer. Load balanceren kan dirigere AD-anmodningen til en hvilken som helst af flere forskellige AD-domænecontrollere.
Hvis en bestemt domænecontrollers fuldt kvalificerede domænenavn (FQDN) angives som "serveradresse", kan konfigurationen gemmes.
Hver domænecontroller har et SSL-certifikat, der indeholder load balancer-navnet og ét domænecontroller-FQDN i feltet "SubjectAlternativeNames".
Cause
PowerProtect Data Manager downloader certifikatet for at bekræfte, at det har en fremtidig udløbsdato og det korrekte certifikatformat.
Under "Gem" kontrollerer PowerProtect Data Manager igen forbindelsen til den server, hvorfra certifikatet blev hentet, for at kontrollere, at aftrykket stemmer overens med det downloadede certifikat.
Denne kontrol mislykkes, fordi belastningsjusteringen har sluttet PowerProtect Data Manager-klienten til en anden server, der har et andet certifikat.
Under "Gem" kontrollerer PowerProtect Data Manager igen forbindelsen til den server, hvorfra certifikatet blev hentet, for at kontrollere, at aftrykket stemmer overens med det downloadede certifikat.
Denne kontrol mislykkes, fordi belastningsjusteringen har sluttet PowerProtect Data Manager-klienten til en anden server, der har et andet certifikat.
Resolution
1) Fra siden Administration-Access> Control-Directory> Settings skal du redigere konfigurationen.
2) Skift 'Serveradressen' til FQDN for en af AD-domænecontrollerne, der er et muligt mål fra belastningsbalanceren.
3) Klik på Bekræft knappen for at importere certifikatet.
4) Gentag trin (2) og (3) for hver anden AD-domænecontroller, der er et muligt mål fra load balancer-adressen.
5) Skift 'Serveradresse' tilbage til belastningsjusteringsnavnet.
6) Klik på Gem.
En anden mulig løsning kunne være at:
1) Oprette ét certifikat til AD, der indeholder alle mulige domænecontroller-FQDN'er og belastningsjusterings-FQDN i feltet SubjectAlternativeNames.
2) Opdater domænecontrollerne med det nye certifikat.
3) Konfigurer Administration-Access> Control-Directory> Settings for at bruge belastningsjusteringsnavnet.
4) Klik på knappen Bekræft .
5) Gem konfigurationen.
2) Skift 'Serveradressen' til FQDN for en af AD-domænecontrollerne, der er et muligt mål fra belastningsbalanceren.
3) Klik på Bekræft knappen for at importere certifikatet.
4) Gentag trin (2) og (3) for hver anden AD-domænecontroller, der er et muligt mål fra load balancer-adressen.
5) Skift 'Serveradresse' tilbage til belastningsjusteringsnavnet.
6) Klik på Gem.
En anden mulig løsning kunne være at:
1) Oprette ét certifikat til AD, der indeholder alle mulige domænecontroller-FQDN'er og belastningsjusterings-FQDN i feltet SubjectAlternativeNames.
2) Opdater domænecontrollerne med det nye certifikat.
3) Konfigurer Administration-Access> Control-Directory> Settings for at bruge belastningsjusteringsnavnet.
4) Klik på knappen Bekræft .
5) Gem konfigurationen.
Additional Information
Brug ppdmtool og openssl til at få vist indholdet af et importeret certifikat på PowerProtect Data Manager-serveren:
1) ssh til PowerProtect Data Manager-serveren som admin.
2) Kør:
ppdmtool -lHver post i det angivne output har fire kolonner adskilt af kommaer som i dette eksempel:
mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry, Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6Outputformatet er: Alias, dato, type, fingeraftryk
"Aliasset" for certifikatet starter med FQDN til venstre og slutter ved det første komma:
mydc.company.com:636:host3) Eksporter certifikatet med ppdmtool
ppdmtool -exportcert -a mydc.company.com:636:hostFilen 'mydc.company.com:636:host.pem' oprettes i den aktuelle mappe.
4) Brug openssl til at se certifikatets indhold:
openssl x509 -in mydc.company.com:636:host.pem -text -nooutOutputtet indeholder indholdet af feltet SubjectAlternativeNames for at kontrollere, hvad certifikatet indeholder.
Affected Products
PowerProtect Data Manager, PowerProtect Data Manager SoftwareArticle Properties
Article Number: 000226886
Article Type: Solution
Last Modified: 18 Jul 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.