PowerProtect Data Manager — 错误“403:服务器证书不受信任“(Server Certificate is not trusted)”(服务器证书不受信任)
Summary: 错误“403:保存 Active Directory 配置时,Web 控制台中报告“服务器证书不受信任”。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
配置“安全”连接并单击“保存”按钮以在 Web 控制台中保存目录设置后,系统报告以下错误:
如果特定域控制器的完全限定域名 (FQDN) 作为“服务器地址”提供,则可以保存配置。
每个域控制器都有一个 SSL 证书,其中包含负载平衡器名称和“SubjectAlternativeNames”字段中的一个域控制器 FQDN。
"403: Server Certificate is not trusted"“Edit Directory”设置中提供的“Server Address”是负载平衡器。负载平衡器可以将 AD 请求路由到多个不同的 AD 域控制器中的任何一个。
如果特定域控制器的完全限定域名 (FQDN) 作为“服务器地址”提供,则可以保存配置。
每个域控制器都有一个 SSL 证书,其中包含负载平衡器名称和“SubjectAlternativeNames”字段中的一个域控制器 FQDN。
Cause
PowerProtect Data Manager 下载证书以验证它是否具有未来的到期日期和正确的证书格式。
在“保存”期间,PowerProtect Data Manager 会重新检查与从中获取证书的服务器的连接,以验证指纹是否与下载的证书匹配。
此检查失败,因为负载平衡器已将 PowerProtect Data Manager 客户端连接到另一台具有不同证书的服务器。
在“保存”期间,PowerProtect Data Manager 会重新检查与从中获取证书的服务器的连接,以验证指纹是否与下载的证书匹配。
此检查失败,因为负载平衡器已将 PowerProtect Data Manager 客户端连接到另一台具有不同证书的服务器。
Resolution
1) 从“Administration”->“Access Control”->“Directory Settings”页面中,编辑配置。
2) 将“服务器地址”更改为其中一个 AD 域控制器的 FQDN,该域控制器是负载平衡器的可能目标。
3) 单击“ 验证 ”按钮以导入证书。
4) 对作为负载平衡器地址可能目标的每个不同的 AD 域控制器 重复 步骤 (2) 和 (3)。
5) 将“服务器地址”更改回负载平衡器名称。
6) 单击 “保存”。
另一种可能的解决方案是:
1) 为 AD 创建一个证书,其中包含所有可能的域控制器 FQDN 和 SubjectAlternativeNames 字段中的负载平衡器 FQDN。
2) 使用新证书 更新 域控制器。
3) 配置 Administration-Access> Control-Directory> Settings以使用负载平衡器名称。
4) 单击 验证 按钮。
5) 保存 配置。
2) 将“服务器地址”更改为其中一个 AD 域控制器的 FQDN,该域控制器是负载平衡器的可能目标。
3) 单击“ 验证 ”按钮以导入证书。
4) 对作为负载平衡器地址可能目标的每个不同的 AD 域控制器 重复 步骤 (2) 和 (3)。
5) 将“服务器地址”更改回负载平衡器名称。
6) 单击 “保存”。
另一种可能的解决方案是:
1) 为 AD 创建一个证书,其中包含所有可能的域控制器 FQDN 和 SubjectAlternativeNames 字段中的负载平衡器 FQDN。
2) 使用新证书 更新 域控制器。
3) 配置 Administration-Access> Control-Directory> Settings以使用负载平衡器名称。
4) 单击 验证 按钮。
5) 保存 配置。
Additional Information
使用 ppdmtool 和 openssl 查看 PowerProtect Data Manager 服务器上导入的证书的内容:
1) 以管理员身份通过 ssh 连接到 PowerProtect Data Manager 服务器。
2) 运行:
ppdmtool -l所列输出中的每条记录都有四列,用逗号分隔,如本示例所示:
mydc.company.com:636:host, Jul 12, 2024, trustedCertEntry, Certificate fingerprint (SHA-256): 22:38:CA:00:8E:D0:50:18:F4:B8:C6:3F:94:69:34:1F:15:24:3B:11:26:15:EC:84:8B:DD:3F:04:CD:44:55:D6输出格式为:别名、日期、类型、指纹
证书的“别名”从左侧的 FQDN 开始,到第一个逗号结束:
mydc.company.com:636:host3) 使用 ppdmtool 导出证书
ppdmtool -exportcert -a mydc.company.com:636:host在当前目录中创建文件“mydc.company.com:636:host.pem”。
4) 使用 openssl 查看证书内容:
openssl x509 -in mydc.company.com:636:host.pem -text -noout输出包含 SubjectAlternativeNames字段的内容,用于验证证书中的内容。
Affected Products
PowerProtect Data Manager, PowerProtect Data Manager SoftwareArticle Properties
Article Number: 000226886
Article Type: Solution
Last Modified: 18 Jul 2024
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.