PowerProtect Data Manager — ошибка «403: «Server Certificate is not trusted» при попытке включить параметр «Secure» для SSL-подключения

После настройки «Безопасного» соединения и нажатия кнопки «Сохранить» для сохранения настроек каталога в веб-консоли появляется сообщение о следующей ошибке:

"403: Server Certificate is not trusted"

Адрес сервера, указанный в настройках «Edit Directory», является балансировщиком нагрузки. Балансировщик нагрузки может направить запрос AD на любой из нескольких различных контроллеров домена AD.
Если в качестве адреса сервера указано полное доменное имя (FQDN) определенного контроллера домена, конфигурацию можно сохранить.
Каждый контроллер домена имеет сертификат SSL, который содержит имя балансировщика нагрузки и полное доменное имя одного контроллера домена в поле «SubjectAlternativeNames».

PowerProtect Data Manager скачивает сертификат, чтобы убедиться, что у него есть дата истечения срока действия в будущем и правильный формат сертификата.
Во время сохранения PowerProtect Data Manager повторно проверяет подключение к серверу, с которого был получен сертификат, чтобы убедиться, что отпечаток соответствует скачанному сертификату.
Эта проверка завершается сбоем, так как балансировщик нагрузки подключил клиент PowerProtect Data Manager к другому серверу с другим сертификатом.

1. На странице Administration-Access> Control-Directory> Settings измените конфигурацию.
2) Измените Адрес сервера на полностью определенное доменное имя одного из контроллеров домена Active Directory, который является возможным целевым объектом балансировщика нагрузки.
3. Нажмите кнопку Verify , чтобы импортировать сертификат.
4) Повторите шаги (2) и (3) для каждого отдельного контроллера домена Active Directory, который является возможным целевым объектом с адреса балансировщика нагрузки.
5) Измените «Server Address» обратно на имя балансировщика нагрузки.
6. Нажмите кнопку Save.
Другим возможным решением может быть следующее:
1) Создайте один сертификат для AD, который содержит все возможные полные доменные имена контроллера домена и полностью определенное доменное имя балансировщика нагрузки в поле SubjectAlternativeNames. 
2) Обновите контроллеры домена, используя новый сертификат.
3) Настройте Administration-Access> Control-Directory> Settings, чтобы использовать имя балансировщика нагрузки.
4) Нажмите кнопку Проверить .
5) Сохраните конфигурацию.

Используйте ppdmtool и openssl для просмотра содержимого импортированного сертификата на сервере PowerProtect Data Manager:
1) через SSH на сервере PowerProtect Data Manager в качестве администратора.
2) Выполните:

ppdmtool -l

Каждая запись в перечисленных выходных данных имеет четыре столбца, разделенных запятыми, как в этом примере:

mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry,
Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6

Формат вывода выглядит следующим образом: Псевдоним, дата, тип, отпечаток пальца
«Псевдоним» для сертификата начинается с FQDN слева и заканчивается первой запятой:

mydc.company.com:636:host

3) Экспортируйте сертификат с помощью ppdmtool

ppdmtool -exportcert -a mydc.company.com:636:host

Файл «mydc.company.com:636:host.pem» создается в текущем каталоге.
4) Используйте openssl для просмотра содержимого сертификата:

openssl x509 -in mydc.company.com:636:host.pem -text -noout

Выходные данные содержат содержимое поля SubjectAlternativeNames для проверки содержимого сертификата.