PowerProtect Data Manager - помилка "403: Сертифікат сервера не є надійним» при спробі ввімкнути опцію «Безпечний» для SSL-з'єднання

Після налаштування «Безпечного» з'єднання та натискання кнопки «Зберегти» для збереження налаштувань каталогу у веб-консолі повідомляється про таку помилку:

"403: Server Certificate is not trusted"

«Адреса сервера», надана в налаштуваннях «Редагувати каталог», є балансувальником навантаження. Розподілювач навантаження може спрямовувати запит AD на будь-який із кількох різних контролерів домену AD.
Якщо повне доменне ім'я (FQDN) певного контролера домену вказано як 'адресу сервера', конфігурацію можна зберегти.
Кожен контролер домену має сертифікат SSL, який містить ім'я розподілювача навантаження та один контролер домену FQDN у полі 'SubjectAlternativeNames'.

PowerProtect Data Manager завантажує сертифікат, щоб переконатися, що він має майбутню дату закінчення терміну дії та правильний формат сертифіката.
Під час збереження диспетчер даних PowerProtect повторно перевіряє з'єднання із сервером, з якого було отримано сертифікат, щоб переконатися, що відбиток збігається із завантаженим сертифікатом.
Ця перевірка не вдається, оскільки розподілювач навантаження підключив клієнт PowerProtect Data Manager до іншого сервера, який має інший сертифікат.

1) На сторінці Адміністрування -> Контроль доступу -> Налаштування каталогу відредагуйте конфігурацію.
2) Змініть "Адресу сервера" на FQDN одного з контролерів домену AD, який є можливою ціллю від балансувальника навантаження.
3) Натисніть кнопку Підтвердити , щоб імпортувати сертифікат.
4) Повторіть кроки (2) і (3) для кожного окремого контролера домену AD, який є можливою ціллю з адреси балансувальника навантаження.
5) Змініть «Адресу сервера» назад на назву розподілювача навантаження.
6) Натисніть Зберегти.
Іншим можливим рішенням може бути:
1) Створити один сертифікат для AD, який містить усі можливі FQDN контролера домену та балансувальник навантаження FQDN у полі SubjectAlternativeNames. 
2) Оновіть контролери домену новим сертифікатом.
3) Налаштуйте Адміністрування-Контроль> доступу-Параметри> каталогу, щоб використовувати ім'я розподілювача навантаження.
4) Натисніть кнопку Підтвердити .
5) Збережіть конфігурацію.

Використовуйте ppdmtool та openssl для перегляду вмісту імпортованого сертифіката на сервері PowerProtect Data Manager:
1) ssh до сервера PowerProtect Data Manager від імені адміністратора.
2) Виконати:

ppdmtool -l

Кожен запис у вказаному виводі має чотири стовпці, розділені комами, як у цьому прикладі:

mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry,
Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6

Формат виводу: Псевдонім, Дата, Тип, відбиток
пальця Псевдонім сертифіката починається з FQDN зліва і закінчується на першій комі:

mydc.company.com:636:host

3) Експортуйте сертифікат за допомогою ppdmtool

ppdmtool -exportcert -a mydc.company.com:636:host

Файл 'mydc.company.com:636:host.pem' створюється в поточному каталозі.
4) Використовуйте openssl для перегляду вмісту сертифіката:

openssl x509 -in mydc.company.com:636:host.pem -text -noout

Вихідні дані містять вміст поля SubjectAlternativeNames для перевірки вмісту сертифіката.