PowerProtect Data Manager – Fehler "403: Serverzertifikat ist nicht vertrauenswürdig", wenn versucht wird, die Option "Sicher" für die SSL-Verbindung zu aktivieren

Nach der Konfiguration der "sicheren" Verbindung und dem Klicken auf die Schaltfläche "Speichern" zum Speichern der Verzeichniseinstellungen in der Webkonsole wird der folgende Fehler gemeldet:

"403: Server Certificate is not trusted"

Die in den Einstellungen unter "Verzeichnis bearbeiten" angegebene "Serveradresse" ist ein Lastenausgleichsmodul. Der Load Balancer kann die AD-Anforderung an einen von mehreren verschiedenen AD-Domain-Controllern weiterleiten.
Wenn der vollständig qualifizierte Domänenname (FQDN) eines bestimmten Domänencontrollers als "Serveradresse" angegeben wird, kann die Konfiguration gespeichert werden.
Jeder Domain Controller verfügt über ein SSL-Zertifikat, das den Lastenausgleichsnamen und einen Domain Controller-FQDN im Feld "Subject Alternative Names" enthält.

PowerProtect Data Manager lädt das Zertifikat herunter, um zu überprüfen, ob es ein zukünftiges Ablaufdatum hat und das richtige Zertifikatformat aufweist.
Beim Speichern überprüft PowerProtect Data Manager erneut die Verbindung zum Server, von dem das Zertifikat abgerufen wurde, um sicherzustellen, dass der Fingerabdruck mit dem heruntergeladenen Zertifikat übereinstimmt.
Diese Prüfung schlägt fehl, da der Load Balancer den PowerProtect Data Manager-Client mit einem anderen Server verbunden hat, der über ein anderes Zertifikat verfügt.

1) Bearbeiten Sie auf der Seite "Administration" Access> Control Directory> Settings die Konfiguration.
2) Ändern Sie die "Serveradresse" in den FQDN eines der AD-Domain-Controller, der ein mögliches Ziel des Load Balancer ist.
3) Klicken Sie auf die Schaltfläche "Verify ", um das Zertifikat zu importieren.
4) Wiederholen Sie die Schritte (2) und (3) für jeden verschiedenen AD-Domänencontroller, der ein mögliches Ziel von der Lastenausgleichsmoduladresse ist.
5) Ändern Sie die "Server Address" zurück in den Namen des Load Balancers.
6) Klicken Sie auf Speichern.
Eine weitere mögliche Lösung könnte sein:
1) Erstellen Sie ein Zertifikat für AD, das alle möglichen Domain-Controller-FQDNs und den Lastenausgleichs-FQDN im Feld "SubjectAlternativeNames" enthält. 
2) Aktualisieren Sie die Domain Controller mit dem neuen Zertifikat.
3) Konfigurieren Sie die Einstellungen unter "Administration-Zugriffssteuerung-Verzeichnis>>" so, dass der Name des Lastenausgleichsmoduls verwendet wird.
4) Klicken Sie auf die Schaltfläche Verifizieren.
5) Speichern Sie die Konfiguration.

Verwenden Sie ppdmtool und openssl, um den Inhalt eines importierten Zertifikats auf dem PowerProtect Data Manager-Server anzuzeigen:
1) SSH zum PowerProtect Data Manager-Server als Admin.
2) Führen Sie Folgendes aus:

ppdmtool -l

Jeder Datensatz in der aufgeführten Ausgabe hat vier Spalten, die durch Kommas getrennt sind, wie in diesem Beispiel:

mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry,
Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6

Das Ausgabeformat ist: Alias, Datum, Typ, Fingerabdruck
Der "Alias" für das Zertifikat beginnt mit dem FQDN auf der linken Seite und endet mit dem ersten Komma:

mydc.company.com:636:host

3) Exportieren Sie das Zertifikat mit ppdmtool.

ppdmtool -exportcert -a mydc.company.com:636:host

Die Datei 'mydc.company.com:636:host.pem' wird im aktuellen Verzeichnis erstellt.
4) Verwenden Sie OpenSSL, um den Inhalt des Zertifikats anzuzeigen:

openssl x509 -in mydc.company.com:636:host.pem -text -noout

Die Ausgabe enthält den Inhalt des Felds SubjectAlternativeNames, um den Inhalt des Zertifikats zu überprüfen.