PowerProtect Data Manager — erro "403: Server Certificate is not trusted" ao tentar ativar a opção "Secure" para conexão SSL

Depois de configurar a conexão 'Segura' e clicar no botão 'Salvar' para salvar as Configurações de diretório no console da Web, o seguinte erro é relatado:

"403: Server Certificate is not trusted"

O "Endereço do servidor" fornecido nas configurações de "Editar diretório" é um balanceador de carga. O balanceador de carga pode rotear a solicitação do AD para qualquer um dos vários controladores de domínio diferentes do AD.
Se o FQDN (Fully Qualified Domain Name, nome de domínio totalmente qualificado) de um controlador de domínio específico for fornecido como o 'Endereço do servidor', a configuração poderá ser salva.
Cada controlador de domínio tem um certificado SSL que contém o nome do balanceador de carga e um FQDN do controlador de domínio no campo 'SubjectAlternativeNames'.

O PowerProtect Data Manager faz download do certificado para verificar se ele tem uma data de expiração futura e o formato correto do certificado.
Durante "Save", o PowerProtect Data Manager verifica novamente a conexão com o servidor do qual o certificado foi obtido para verificar se a impressão digital corresponde ao certificado baixado.
Essa verificação falha porque o balanceador de carga conectou o client do PowerProtect Data Manager a outro servidor que tenha um certificado diferente.

1) Na página Administration-Access> Control-Directory> Settings, edite a configuração.
2) Altere o "Endereço do servidor" para o FQDN de um dos controladores de domínio do AD que é um possível destino do balanceador de carga.
3) Clique no botão Verificar para importar o certificado.
4) Repita as etapas (2) e (3) para cada controlador de domínio do AD diferente que seja um possível destino do endereço do balanceador de carga.
5) Altere o endereço do servidor de volta para o nome do balanceador de carga.
6) Clique em Salvar.
Outra solução possível seria:
1) Criar um certificado para o AD que contenha todos os FQDNs possíveis do controlador de domínio e o FQDN do balanceador de carga no campo SubjectAlternativeNames. 
2) Atualize os controladores de domínio com o novo certificado.
3) Defina Administration-Access> Control-Directory> Settings para usar o nome do balanceador de carga.
4) Clique no botão Verificar .
5) Salve a configuração.

Use ppdmtool e openssl para visualizar o conteúdo de um certificado importado no servidor PowerProtect Data Manager:
1) ssh para o servidor PowerProtect Data Manager como administrador.
2) Execute:

ppdmtool -l

Cada registro na saída listada tem quatro colunas separadas por vírgulas, como neste exemplo:

mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry,
Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6

O formato de saída é: Alias, data, tipo, impressão digital
O "alias" do certificado começa com o FQDN à esquerda e termina na primeira vírgula:

mydc.company.com:636:host

3) Exporte o certificado com ppdmtool

ppdmtool -exportcert -a mydc.company.com:636:host

O arquivo 'mydc.company.com:636:host.pem' é criado no diretório atual.
4) Use openssl para visualizar o conteúdo do certificado:

openssl x509 -in mydc.company.com:636:host.pem -text -noout

O resultado contém o conteúdo do campo SubjectAlternativeNames para verificar o que está no certificado.