SSL证书绑定到服务器的IP地址?
我们在两个不同的实际办公地点有两个不同的ldap供应商。
当我将我的笔记本电脑连接到一个位置,并且从端口(在Websphere 6.1中)中检索以导入ldap提供程序的ssl证书时,我可以在没有问题的情况下对相应的ldap进行身份validation。 如果我将笔记本电脑带到另一个办公室(默认情况下使用其他ldap提供程序),并且我插入笔记本电脑,笔记本电脑上的笔记本计算机将无法启动,因为它显示“找不到可信的ssl证书”。
如果我再次从端口检索并重新导入证书,那么它再次工作。
请注意,我的WAS总是尝试连接到一个LDAP,它只是没有用于另一个。
如果我回到其他办公室,我会得到同样的错误,直到我从该位置重新导入。 ldap连接点是ldap.something.com:636,并且可以在两个位置使用相同的FQDN进行ping。
但是,当它钉在每个办公室的位置解决了不同的IP地址。 为什么我看到这种行为?
SSL Certs是否以某种方式绑定到特定的IP地址?
如果是,那么我需要为每个办公地点维护一套不同的证书,对吧?
请注意,没有办法调整DNS服务器来parsing主机名到相同的IP地址,我检查。
有人可以提供一些见解吗?
SSL证书绑定到“通用名称”,通常是完全合格的域名,但可以是通配符名称(例如。*。domain.com),甚至是IP地址,但通常不是。
在你的情况下,你是通过主机名访问你的LDAP服务器,听起来你的两个LDAP服务器安装了不同的SSL证书。 您是否可以查看(或下载并查看)SSL证书的详细信息? 每个SSL证书将有一个唯一的序列号和指纹,这将需要匹配。 我认为证书被拒绝,因为这些细节与您的证书存储区中的内容不匹配。
您的解决scheme将确保两台LDAP服务器都安装了相同的SSL证书。
顺便说一句 – 你通常可以通过编辑本地“主机”文件覆盖工作站上的DNS条目,但我不会推荐这个。
大多数SSL证书绑定到机器的主机名,而不是IP地址。
如果你在serverfault.com上提出这个问题,你可能会得到一个更好的答案
如果以标准方式安装,SSL证书将被绑定到主机名而不是IP。 因此,为什么它在一个地点而不是另一个地点工作。
即使服务器共享相同的主机名,它们也可能拥有两个不同的证书,因此WebSphere将具有证书信任问题,因为它不能识别第二个服务器上的证书,因为它与第一个服务器不同。
