PowerProtect Data Manager – Błąd "403: Certyfikat serwera nie jest zaufany" podczas próby włączenia opcji "Secure" dla połączenia SSL

Po skonfigurowaniu połączenia "Bezpiecznego" i kliknięciu przycisku "Zapisz" w celu zapisania ustawień katalogu w konsoli internetowej, zgłaszany jest następujący błąd:

"403: Server Certificate is not trusted"

"Adres serwera" podany w ustawieniach "Edytuj katalog" to moduł równoważenia obciążenia. Moduł równoważenia obciążenia może skierować żądanie usługi AD do dowolnego z kilku różnych kontrolerów domeny usługi AD.
Jeśli w pełni kwalifikowana nazwa domeny (FQDN) określonego kontrolera domeny jest podana jako adres serwera, konfigurację można zapisać.
Każdy kontroler domeny ma certyfikat SSL zawierający nazwę modułu równoważenia obciążenia i jedną nazwę FQDN kontrolera domeny w polu "SubjectAlternativeNames".

PowerProtect Data Manager pobierze certyfikat, aby sprawdzić, czy ma on przyszłą datę wygaśnięcia i prawidłowy format certyfikatu.
Podczas zapisywania program PowerProtect Data Manager ponownie sprawdza połączenie z serwerem, z którego uzyskano certyfikat, aby sprawdzić, czy odcisk palca jest zgodny z pobranym certyfikatem.
Ta kontrola kończy się niepowodzeniem, ponieważ moduł równoważenia obciążenia połączył klienta PowerProtect Data Manager z innym serwerem, który ma inny certyfikat.

1) Na stronie Administration-Access> Control-Directory> Settings edytuj konfigurację.
2) Zmień wartość "Server Address" na FQDN jednego z kontrolerów domeny usługi AD, który jest potencjalnym obiektem docelowym modułu równoważenia obciążenia.
3) Kliknij przycisk Verify , aby zaimportować certyfikat.
4) Powtórz kroki (2) i (3) dla każdego innego kontrolera domeny usługi AD, który jest potencjalnym obiektem docelowym z adresu modułu równoważenia obciążenia.
5) Zmień "Server Address" z powrotem na nazwę bilansu obciążenia.
6) Kliknij Zapisz.
Innym możliwym rozwiązaniem może być:
1) Utwórz jeden certyfikat dla usługi AD, który zawiera wszystkie możliwe nazwy FQDN kontrolera domeny i nazwę FQDN modułu równoważenia obciążenia w polu SubjectAlternativeNames. 
2) Zaktualizuj kontrolery domeny przy użyciu nowego certyfikatu.
3) Skonfiguruj Administracja-Kontrola> dostępu-Ustawienia> katalogu, aby używać nazwy modułu równoważenia obciążenia.
4) Kliknij przycisk Zweryfikuj .
5) Zapisz konfigurację.

Użyj narzędzi ppdmtool i openssl, aby wyświetlić zawartość zaimportowanego certyfikatu na serwerze PowerProtect Data Manager:
1) Połącz się z serwerem PowerProtect Data Manager przez SSH jako administrator.
2) Uruchom:

ppdmtool -l

Każdy rekord w wymienionych danych wyjściowych ma cztery kolumny oddzielone przecinkami, jak w tym przykładzie:

mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry,
Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6

Format wyjściowy to: Alias, data, typ, odcisk palca
Alias certyfikatu zaczyna się od nazwy FQDN po lewej stronie i kończy się pierwszym przecinkiem:

mydc.company.com:636:host

3) Eksport certyfikatu za pomocą narzędzia ppdmtool

ppdmtool -exportcert -a mydc.company.com:636:host

Plik "mydc.company.com:636:host.pem" zostanie utworzony w bieżącym katalogu.
4) Użyj narzędzia openssl, aby wyświetlić zawartość certyfikatu:

openssl x509 -in mydc.company.com:636:host.pem -text -noout

Dane wyjściowe zawierają zawartość pola SubjectAlternativeNames w celu sprawdzenia, co znajduje się w certyfikacie.