PowerProtect Data Manager - Error "403 : Le certificat de serveur n’est pas approuvé » lors de la tentative d’activation de l’option « Sécurisé » pour la connexion SSL

Après avoir configuré la connexion sécurisée et cliqué sur le bouton « Enregistrer » pour enregistrer les paramètres de répertoire dans la console Web, l’erreur suivante est signalée :

"403: Server Certificate is not trusted"

L’adresse du serveur fournie dans les paramètres Edit Directory est un équilibreur de charge. L’équilibreur de charge peut acheminer la demande AD vers plusieurs contrôleurs de domaine AD différents.
Si le nom de domaine complet (FQDN) d’un contrôleur de domaine spécifique est fourni en tant qu’adresse de serveur, la configuration peut être enregistrée.
Chaque contrôleur de domaine dispose d’un certificat SSL qui contient le nom de l’équilibreur de charge et un FQDN de contrôleur de domaine dans le champ « SubjectAlternativeNames ».

PowerProtect Data Manager télécharge le certificat pour vérifier qu’il a une date d’expiration ultérieure et le format de certificat correct.
Lors de l’enregistrement, PowerProtect Data Manager vérifie à nouveau la connexion au serveur à partir duquel le certificat a été obtenu, afin de s’assurer que l’empreinte correspond au certificat téléchargé.
Cette vérification échoue, car l’équilibreur de charge a connecté le client PowerProtect Data Manager à un autre serveur disposant d’un certificat différent.

1) Sur la page Administration-Access> Control-Directory> Settings, modifiez la configuration.
2) Remplacez l’adresse du serveur par le nom de domaine complet de l’un des contrôleurs de domaine AD qui est une cible possible à partir de l’équilibreur de charge.
3) Cliquez sur le bouton Verify pour importer le certificat.
4) Répétez les étapes (2) et (3) pour chaque contrôleur de domaine AD différent qui est une cible possible à partir de l’adresse de l’équilibreur de charge.
5) Remplacez l’adresse du serveur par le nom de l’équilibreur de charge.
6) Cliquez sur Save.
Une autre solution possible pourrait être :
1) Créer un certificat pour AD qui contient tous les FQDN de contrôleur de domaine possibles et le FQDN de l’équilibreur de charge dans le champ SubjectAlternativeNames. 
2) Mettez à jour les contrôleurs de domaine avec le nouveau certificat.
3) Configurez Administration-Access> Control-Directory> Settings pour utiliser le nom de l’équilibreur de charge.
4) Cliquez sur le bouton Vérifier .
5) Enregistrez la configuration.

Utilisez ppdmtool et openssl pour afficher le contenu d’un certificat importé sur le serveur PowerProtect Data Manager :
1) Ouvrez une session ssh sur le serveur PowerProtect Data Manager en tant qu’administrateur.
2) Exécutez :

ppdmtool -l

Chaque enregistrement de la sortie répertoriée comporte quatre colonnes séparées par des virgules, comme dans cet exemple :

mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry,
Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6

Le format de sortie est le suivant : Alias, Date, Type, fingerprint
L’alias du certificat commence par le FQDN à gauche et se termine par la première virgule :

mydc.company.com:636:host

3) Exportez le certificat avec ppdmtool

ppdmtool -exportcert -a mydc.company.com:636:host

Le fichier 'mydc.company.com :636 :host.pem' est créé dans le répertoire courant.
4) Utilisez openssl pour afficher le contenu du certificat :

openssl x509 -in mydc.company.com:636:host.pem -text -noout

La sortie contient le contenu du champ SubjectAlternativeNames pour vérifier le contenu du certificat.