PowerProtect Data Manager - 錯誤「403:伺服器憑證不受信任」,嘗試啟用 SSL 連線的「安全」選項時
Summary: 錯誤「403:伺服器憑證不受信任」,會在儲存 Active Directory 組態時於 Web 主控台回報。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
設定「安全」連線並按一下「儲存」按鈕以在 Web 主控台中儲存目錄設定後,會回報下列錯誤:
如果提供特定域控制器的完全限定功能變數名稱 (FQDN) 作為「伺服器位址」,則可以保存配置。
每個網域控制站都有一個 SSL 憑證,其中包含負載平衡器名稱,以及「SubjectAlternativeNames」欄位中的一個網域控制站 FQDN。
"403: Server Certificate is not trusted"“編輯目錄”設置中提供的“伺服器位址”是負載均衡器。負載均衡器可以將 AD 請求路由到多個不同的 AD 域控制器中的任何一個。
如果提供特定域控制器的完全限定功能變數名稱 (FQDN) 作為「伺服器位址」,則可以保存配置。
每個網域控制站都有一個 SSL 憑證,其中包含負載平衡器名稱,以及「SubjectAlternativeNames」欄位中的一個網域控制站 FQDN。
Cause
PowerProtect Data Manager 會下載憑證,以確認其未來有到期日和正確的憑證格式。
在「儲存」期間,PowerProtect Data Manager 會重新檢查與取得憑證的伺服器之間的連線,以確認指紋與下載的憑證相符。
此檢查失敗,因為負載平衡器已將 PowerProtect Data Manager 用戶端連接至具有不同憑證的另一部伺服器。
在「儲存」期間,PowerProtect Data Manager 會重新檢查與取得憑證的伺服器之間的連線,以確認指紋與下載的憑證相符。
此檢查失敗,因為負載平衡器已將 PowerProtect Data Manager 用戶端連接至具有不同憑證的另一部伺服器。
Resolution
1) 在「管理」->「存取控制>」-「目錄設定」頁面中,編輯組態。
2) 將「伺服器位址」變更為其中一個 AD 網域控制站的 FQDN,這可能是負載平衡器的目標。
3) 按一下 「驗證 」按鈕以匯入憑證。
4) 針對負載均衡器位址中可能成為目標的每個不同 AD 域控制器 重複 步驟 (2) 和 (3)。
5) 將「伺服器位址」更改回負載均衡器名稱。
6) 按一下 「儲存」。
另一種可能的解決方案是:
1) 為 AD 建立一個憑證,在 SubjectAlternativeNames 欄位中包含所有可能的網域控制站 FQDN 和負載平衡器 FQDN。
2) 使用新憑證 更新 網域控制站。
3) 配置管理存取>控制>目錄設定以使用負載均衡器名稱。
4) 按一下 「驗證 」按鈕。
5) 儲存 組態。
2) 將「伺服器位址」變更為其中一個 AD 網域控制站的 FQDN,這可能是負載平衡器的目標。
3) 按一下 「驗證 」按鈕以匯入憑證。
4) 針對負載均衡器位址中可能成為目標的每個不同 AD 域控制器 重複 步驟 (2) 和 (3)。
5) 將「伺服器位址」更改回負載均衡器名稱。
6) 按一下 「儲存」。
另一種可能的解決方案是:
1) 為 AD 建立一個憑證,在 SubjectAlternativeNames 欄位中包含所有可能的網域控制站 FQDN 和負載平衡器 FQDN。
2) 使用新憑證 更新 網域控制站。
3) 配置管理存取>控制>目錄設定以使用負載均衡器名稱。
4) 按一下 「驗證 」按鈕。
5) 儲存 組態。
Additional Information
使用 ppdmtool 和 openssl 檢視 PowerProtect Data Manager 伺服器上匯入憑證的內容:
1) 以系統管理員身分 ssh 至 PowerProtect Data Manager 伺服器。
2) 執行:
ppdmtool -l列出的輸出中的每條記錄都有四列,以逗號分隔,如以下範例所示:
mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry, Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6輸出格式為:別名、日期、類型、指紋
憑證的「別名」以左側的 FQDN 開頭,第一個逗號結尾:
mydc.company.com:636:host3) 使用 ppdmtool 匯出憑證
ppdmtool -exportcert -a mydc.company.com:636:host檔案「mydc.company.com:636:host.pem」建立在目前的目錄中。
4) 使用 openssl 檢視憑證內容:
openssl x509 -in mydc.company.com:636:host.pem -text -noout輸出包含 SubjectAlternativeNames 欄位的內容,可用來驗證憑證中的內容。
Affected Products
PowerProtect Data Manager, PowerProtect Data Manager SoftwareArticle Properties
Article Number: 000226886
Article Type: Solution
Last Modified: 18 Jul 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.