Как заставить шлюз приложений AzureRM принимать сертификат ACME .PEM как доверенный_корневой_сертификат в сквозной конфигурации SSL AGW?

Я пытаюсь создать azurerm backend_http_settings в шлюзе приложений Azure v2.0, используя Terraform и Letsencrypt через поставщика ACME.

Я могу успешно создать сертификат и импортировать.pfx в https-прослушиватель внешнего интерфейса, поставщики acme и azurerm предоставляют все необходимое для обработки pkcs12.

К сожалению, бэкэнд хочет файл.cer, предположительно закодированный в base64, а не в DER, и я не могу заставить его работать, что бы я ни пытался. Насколько я понимаю, для этого подойдет файл letsencrypt.pem, но когда я пытаюсь использовать certificate_pem поставщика acme в качестве доверенного_root_certificate, я получаю следующую ошибку:

Ошибка: Ошибка создания / обновления шлюза приложений "agw-frontproxy" (группа ресурсов "rg-mir"): network.ApplicationGatewaysClient#CreateOrUpdate: Ошибка отправки запроса: StatusCode=400 - Исходная ошибка: Code="ApplicationGatewayTrustedRootCertificateInvalidData" Сообщение = "Данные для сертификата.../ Provider/Microsoft.Network/applicationGateways/agw-frontproxy/trustRootCertificates/vnet-mir-be-cert недействителен ". Подробности =[]

План terraform работает нормально, указанная выше ошибка возникает во время применения terraform, когда поставщик azurerm злится из-за того, что данные сертификата недействительны. Я записал сертификаты на диск, и они выглядят так, как я ожидал. Вот фрагмент кода с соответствующим кодом:

locals {
  https_setting_name             = "${azurerm_virtual_network.vnet-mir.name}-be-tls-htst"
  https_frontend_cert_name       = "${azurerm_virtual_network.vnet-mir.name}-fe-cert"
  https_backend_cert_name        = "${azurerm_virtual_network.vnet-mir.name}-be-cert"
}
provider "azurerm" {
    version = "~>2.7"
    features {
      key_vault {
          purge_soft_delete_on_destroy = true
        }
    }
}
provider "acme" {
  server_url = "https://acme-staging-v02.api.letsencrypt.org/directory"
}
resource "acme_certificate" "certificate" {
  account_key_pem           = acme_registration.reg.account_key_pem
  common_name               = "cert-test.example.com"
  subject_alternative_names = ["cert-test2.example.com", "cert-test3.example.com"]
  certificate_p12_password  = "<your password here>"
  dns_challenge {
    provider          = "cloudflare"

    config = {
      CF_API_EMAIL      = "<your email here>"
      CF_DNS_API_TOKEN  = "<your token here>"
      CF_ZONE_API_TOKEN = "<your token here>"
    }
  }
}
resource "azurerm_application_gateway" "agw-frontproxy" {
 name                = "agw-frontproxy"
 location            = azurerm_resource_group.rg-mir.location
 resource_group_name = azurerm_resource_group.rg-mir.name

 sku {
     name     = "Standard_v2"
     tier     = "Standard_v2"
     capacity = 2
 }
   trusted_root_certificate {
    name = local.https_backend_cert_name
    data = acme_certificate.certificate.certificate_pem
  }
    ssl_certificate {
    name     = local.https_frontend_cert_name
    data     = acme_certificate.certificate.certificate_p12
    password = "<your password here>"
  }
  #  Create HTTPS listener and backend
  backend_http_settings {
   name                  = local.https_setting_name
   cookie_based_affinity = "Disabled"
   port                  = 443
   protocol              = "Https"
   request_timeout       = 20
   trusted_root_certificate_names = [local.https_backend_cert_name]
  }

Как заставить шлюз приложений AzureRM принимать сертификат ACME .PEM как доверенный_корневой_сертификат в сквозной конфигурации AGW SSL?