PowerProtect Data Manager – Fel "403: Servercertifikatet är inte betrott" när du försöker aktivera alternativet "Säker" för SSL-anslutning

När du har konfigurerat en säker anslutning och klickat på knappen Spara för att spara kataloginställningarna i webbkonsolen visas följande fel:

"403: Server Certificate is not trusted"

"Serveradressen" som anges i inställningarna för "Redigera katalog" är en lastbalanserare. Lastbalanseraren kan dirigera AD-begäran till någon av flera olika AD-domänkontrollanter.
Om en specifik domänkontrollants fullständigt kvalificerade domännamn (FQDN) anges som serveradress kan konfigurationen sparas.
Varje domänkontrollant har ett SSL-certifikat som innehåller lastbalanserarens namn och en domänkontrollants FQDN i fältet "SubjectAlternativeNames".

PowerProtect Data Manager hämtar certifikatet för att verifiera att det har ett framtida förfallodatum och rätt certifikatformat.
Under "Save" kontrollerar PowerProtect Data Manager på nytt anslutningen till den server som certifikatet hämtades från för att verifiera att tumavtrycket stämmer överens med det nedladdade certifikatet.
Den här kontrollen misslyckas eftersom lastbalanseraren anslöt PowerProtect Data Manager-klienten till en annan server som har ett annat certifikat.

1) Redigera konfigurationen på sidan Administration-Access> Control-Directory-inställningar>.
2) Ändra serveradressen till FQDN för en av AD-domänkontrollanterna som är ett möjligt mål från lastbalanseraren.
3) Klicka på knappen Verifiera för att importera certifikatet.
4) Upprepa steg (2) och (3) för varje annan AD-domänkontrollant som är ett möjligt mål från lastbalanseringsadressen.
5) Ändra tillbaka serveradressen till lastbalanserarens namn.
6) Klicka på Spara.
En annan möjlig lösning kan vara att:
1) Skapa ett certifikat för AD som innehåller alla möjliga domänkontrollant-FQDN och lastbalanserarens FQDN i fältet SubjectAlternativeNames. 
2) Uppdatera domänkontrollanterna med det nya certifikatet.
3) Konfigurera inställningarna Administration-Access> Control-Directory> för att använda lastbalanserarens namn.
4) Klicka på knappen Verifiera .
5) Spara konfigurationen.

Använd ppdmtool och openssl för att visa innehållet i ett importerat certifikat på PowerProtect Data Manager-servern:
1) SSH till PowerProtect Data Manager-servern som administratör.
2) Kör:

ppdmtool -l

Varje post i utdata i listan har fyra kolumner avgränsade med kommatecken, som i det här exemplet:

mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry,
Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6

Utdataformatet är: Alias, datum, typ, fingeravtryck
Certifikatets "alias" börjar med FQDN till vänster och slutar med det första kommatecknet:

mydc.company.com:636:host

3) Exportera certifikatet med ppdmtool

ppdmtool -exportcert -a mydc.company.com:636:host

Filen "mydc.company.com:636:host.pem" skapas i den aktuella katalogen.
4) Använd openssl för att visa certifikatinnehållet:

openssl x509 -in mydc.company.com:636:host.pem -text -noout

Utdata innehåller innehållet i fältet SubjectAlternativeNames för att verifiera vad som finns i certifikatet.