PowerProtect Data Manager - Fout '403: Servercertificaat is niet vertrouwd" bij een poging om de optie 'Veilig' in te schakelen voor de SSL-verbinding

Na het configureren van de beveiligde verbinding en het klikken op de knop Opslaan om directory-instellingen op te slaan in de webconsole, wordt de volgende fout gemeld:

"403: Server Certificate is not trusted"

Het 'Server Address' dat wordt opgegeven in de instellingen voor 'Edit Directory' is een load balancer. De load balancer kan de AD-aanvraag routeren naar een van de verschillende AD-domeincontrollers.
Als de FQDN (Fully Qualified Domain Name) van een specifieke domeincontroller wordt opgegeven als het 'serveradres', kan de configuratie worden opgeslagen.
Elke domeincontroller heeft een SSL-certificaat dat de naam van de load balancer en één FQDN van de domeincontroller bevat in het veld 'SubjectAlternativeNames'.

PowerProtect Data Manager downloadt het certificaat om te controleren of het een toekomstige vervaldatum en de juiste certificaatindeling heeft.
Tijdens 'Save' controleert PowerProtect Data Manager opnieuw de verbinding met de server waarvan het certificaat is verkregen, om te controleren of de vingerafdruk overeenkomt met het gedownloade certificaat.
Deze controle mislukt omdat de load balancer de PowerProtect Data Manager client heeft verbonden met een andere server met een ander certificaat.

1) Bewerk de configuratie op de pagina Administration-Access> Control-Directory> Settings.
2) Wijzig het 'Server Address' in de FQDN van een van de AD-domeincontrollers die een mogelijk doel is van de load balancer.
3) Klik op Verifiëren om het certificaat te importeren.
4) Herhaal stap (2) en (3) voor elke verschillende AD-domeincontroller die een mogelijk doel is vanaf het load balancer-adres.
5) Wijzig het serveradres terug naar de naam van de load balancer.
6) Klik op Opslaan.
Een andere mogelijke oplossing zou kunnen zijn:
1) Maak één certificaat voor AD met alle mogelijke FQDN's van domeincontrollers en de FQDN van de load balancer in het veld SubjectAlternativeNames. 
2) Werk de domeincontrollers bij met het nieuwe certificaat.
3) Configureer Administration-Access> Control-Directory> Settings om de naam van de load balancer te gebruiken.
4) Klik op Verifiëren .
5) Sla de configuratie op.

Gebruik ppdmtool en openssl om de inhoud van een geïmporteerd certificaat op de PowerProtect Data Manager server weer te geven:
1) ssh naar PowerProtect Data Manager server als admin.
2) Uitvoeren:

ppdmtool -l

Elke record in de vermelde uitvoer heeft vier kolommen gescheiden door komma's, zoals in dit voorbeeld:

mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry,
Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6

Het uitvoerformaat is: Alias, datum, type, vingerafdruk
De 'alias' voor het certificaat begint met de FQDN aan de linkerkant en eindigt bij de eerste komma:

mydc.company.com:636:host

3) Exporteer het certificaat met ppdmtool

ppdmtool -exportcert -a mydc.company.com:636:host

Het bestand 'mydc.company.com:636:host.pem' wordt gemaakt in de huidige map.
4) Gebruik openssl om de inhoud van het certificaat weer te geven:

openssl x509 -in mydc.company.com:636:host.pem -text -noout

De uitvoer bevat de inhoud van het veld SubjectAlternativeNames om te controleren wat er in het certificaat staat.