PowerProtect Data Manager - 오류 "403: Server Certificate is not trusted" 오류 메시지가 표시됩니다.

'보안' 연결을 구성하고 '저장' 버튼을 클릭하여 웹 콘솔에서 디렉토리 설정을 저장한 후 다음 오류가 보고됩니다.

"403: Server Certificate is not trusted"

'Edit Directory' 설정에 제공된 '서버 주소'는 로드 밸런서입니다. 로드 밸런서는 AD 요청을 여러 AD 도메인 컨트롤러로 라우팅할 수 있습니다.
특정 도메인 컨트롤러의 FQDN(정규화된 도메인 이름)이 '서버 주소'로 제공된 경우 구성을 저장할 수 있습니다.
각 도메인 컨트롤러에는 부하 분산 장치 이름과 'SubjectAlternativeNames' 필드에 하나의 도메인 컨트롤러 FQDN이 포함된 SSL 인증서가 있습니다.

PowerProtect Data Manager는 인증서를 다운로드하여 향후 만료 날짜와 올바른 인증서 형식이 있는지 확인합니다.
저장 중에 PowerProtect Data Manager는 인증서를 가져온 서버로의 연결을 다시 확인하여 지문이 다운로드한 인증서와 일치하는지 확인합니다.
로드 밸런서가 PowerProtect Data Manager 클라이언트를 다른 인증서가 있는 다른 서버에 연결했기 때문에 이 검사에 실패합니다.

1) Administration-Access> Control-Directory> Settings 페이지에서 구성을 편집합니다.
2) '서버 주소'를 로드 밸런서의 가능한 타겟인 AD 도메인 컨트롤러 중 하나의 FQDN으로 변경합니다.
3) 확인 버튼을 클릭하여 인증서를 가져옵니다.
4) 로드 밸런서 주소의 가능한 타겟이 될 수 있는 각 AD 도메인 컨트롤러에 대해 (2) 및 (3) 단계를 반복 합니다.
5) '서버 주소'를 다시 로드 밸런서 이름으로 변경합니다.
6) 저장을 클릭합니다.
또 다른 가능한 해결책은 다음과 같습니다.
1) SubjectAlternativeNames 필드에 가능한 모든 도메인 컨트롤러 FQDN 및 부하 분산 장치 FQDN을 포함하는 AD에 대한 하나의 인증서를 만듭니다. 
2) 도메인 컨트롤러를 새 인증서로 업데이트 합니다.
3) 로드 밸런서 이름을 사용하도록 Administration-Access> Control-Directory> Settings를 구성합니다.
4) 확인 버튼을 클릭합니다.
5) 구성을 저장합니다 .

PowerProtect Data Manager 서버에서 가져온 인증서의 내용을 보려면 ppdmtool 및 openssl을 사용합니다.
1) ssh를 통해 admin으로 PowerProtect Data Manager 서버에 연결합니다.
2) 실행:

ppdmtool -l

나열된 출력의 각 레코드에는 다음 예와 같이 쉼표로 구분된 4개의 열이 있습니다.

mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry,
Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6

출력 형식은 다음과 같습니다. 별칭, 날짜, 유형, 지문
인증서의 '별칭'은 왼쪽의 FQDN으로 시작하여 첫 번째 쉼표에서 끝납니다.

mydc.company.com:636:host

3) ppdmtool을 사용하여 인증서 내보내기

ppdmtool -exportcert -a mydc.company.com:636:host

현재 디렉토리에 'mydc.company.com:636:host.pem' 파일이 생성됩니다.
4) openssl을 사용하여 인증서 콘텐츠를 확인합니다.

openssl x509 -in mydc.company.com:636:host.pem -text -noout

출력에는 인증서의 내용을 확인하기 위한 SubjectAlternativeNames 필드의 내용이 포함됩니다.