PowerProtect Data Manager - エラー「403: SSL接続の「Secure」オプションを有効にしようとすると、Server Certificate is not trusted」エラーが表示されます
Summary: エラー「403: Active Directory設定を保存するときに、Webコンソールで「Server Certificate is not trusted」が報告されます。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
「セキュア」接続を設定し、[保存]ボタンをクリックしてWebコンソールにディレクトリー設定を保存すると、次のエラーが報告されます。
特定のドメイン コントローラーの完全修飾ドメイン名(FQDN)が「サーバー アドレス」として指定されている場合は、構成を保存できます
各ドメイン コントローラーには、ロード バランサー名と 'SubjectAlternativeNames' フィールドに 1 つのドメイン コントローラー FQDN を含む SSL 証明書があります。
"403: Server Certificate is not trusted"[Edit Directory]設定で指定した[Server Address]はロード バランサーです。ロード バランサーは、ADリクエストを複数の異なるADドメイン コントローラーのいずれかにルーティングできます。
特定のドメイン コントローラーの完全修飾ドメイン名(FQDN)が「サーバー アドレス」として指定されている場合は、構成を保存できます
各ドメイン コントローラーには、ロード バランサー名と 'SubjectAlternativeNames' フィールドに 1 つのドメイン コントローラー FQDN を含む SSL 証明書があります。
Cause
PowerProtect Data Managerは証明書をダウンロードして、将来の有効期限があり、正しい証明書形式であることを確認します
[保存]の際に、PowerProtect Data Managerは証明書の取得元であるサーバーへの接続を再チェックし、サムプリントがダウンロードされた証明書と一致することを確認します
ロード バランサーがPowerProtect Data Managerクライアントを、証明書が異なる別のサーバーに接続したため、このチェックは失敗します。
[保存]の際に、PowerProtect Data Managerは証明書の取得元であるサーバーへの接続を再チェックし、サムプリントがダウンロードされた証明書と一致することを確認します
ロード バランサーがPowerProtect Data Managerクライアントを、証明書が異なる別のサーバーに接続したため、このチェックは失敗します。
Resolution
1)[Administration]->[Access Control]-[>Directory Settings]ページで、設定を編集します
2)「サーバー アドレス」を、ロード バランサーからのターゲットとなり得るADドメイン コントローラーのいずれかのFQDNに変更します
3)[ Verify ]ボタンをクリックして、証明書をインポートします。
4)ロード バランサー アドレスからのターゲットとなる可能性のある異なるADドメイン コントローラーごとに、手順(2)と(3) を繰り返し ます。
5)「サーバー アドレス」をロード バランサー名に戻します。
6)[ 保存]をクリックします
もう1つの考えられる解決策は次のとおりです。
1)SubjectAlternativeNamesフィールドに、可能なすべてのドメイン コントローラーFQDNとロード バランサーFQDNを含むADの証明書を1つ作成します。
2)ドメイン コントローラーを新しい証明書で アップデート します。
3)ロード バランサー名を使用するようにAdministration->Access Control->Directoryを設定します
4)[ 確認 ]ボタンをクリックします
5)設定 を保存します 。
2)「サーバー アドレス」を、ロード バランサーからのターゲットとなり得るADドメイン コントローラーのいずれかのFQDNに変更します
3)[ Verify ]ボタンをクリックして、証明書をインポートします。
4)ロード バランサー アドレスからのターゲットとなる可能性のある異なるADドメイン コントローラーごとに、手順(2)と(3) を繰り返し ます。
5)「サーバー アドレス」をロード バランサー名に戻します。
6)[ 保存]をクリックします
もう1つの考えられる解決策は次のとおりです。
1)SubjectAlternativeNamesフィールドに、可能なすべてのドメイン コントローラーFQDNとロード バランサーFQDNを含むADの証明書を1つ作成します。
2)ドメイン コントローラーを新しい証明書で アップデート します。
3)ロード バランサー名を使用するようにAdministration->Access Control->Directoryを設定します
4)[ 確認 ]ボタンをクリックします
5)設定 を保存します 。
Additional Information
ppdmtoolとopensslを使用して、PowerProtect Data Managerサーバー上にインポートされた証明書の内容を表示します。
1)adminとしてPowerProtect Data Managerサーバーにssh接続します。
2)次のコマンドを実行します。
ppdmtool -lリストされた出力の各レコードには、次の例のように、コンマで区切られた4つの列があります。
mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry, Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6出力形式は次のとおりです。エイリアス、日付、タイプ、フィンガープリント
証明書の「エイリアス」は、左側のFQDNで始まり、最初のコンマで終わります。
mydc.company.com:636:host3)ppdmtoolを使用して証明書をエクスポートします
ppdmtool -exportcert -a mydc.company.com:636:hostファイル 'mydc.company.com:636:host.pem' が現在のディレクトリに作成されます
4)opensslを使用して、証明書の内容を表示します。
openssl x509 -in mydc.company.com:636:host.pem -text -noout出力には、証明書の内容を確認するための SubjectAlternativeNames フィールドの内容が含まれています。
Affected Products
PowerProtect Data Manager, PowerProtect Data Manager SoftwareArticle Properties
Article Number: 000226886
Article Type: Solution
Last Modified: 18 Jul 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.