Привязаны ли SSL-сертификаты к ip-адресу сервера?
У нас есть два разных поставщика ldap в двух разных физических офисах.
когда я подключаю свой ноутбук к одному месту, и я "извлекаю из порта" (в Websphere 6.1), чтобы импортировать сертификат ssl поставщика ldap, я могу аутентифицироваться в соответствующем ldap без проблем. Если я возьму свой ноутбук в другой офис (который использует другого поставщика ldap по умолчанию), и я подключу свой ноутбук, мой ноутбук не запустится, потому что он говорит: "нет доверенного сертификата ssl нашел".
Если я снова "извлекаю из порта" и повторно импортирую сертификат, он снова работает.
обратите внимание, что мой всегда пытался подключиться к одному ldap, он просто не использует другой.
Если я вернусь в другой офис, я получу ту же ошибку, пока не повторю импорт из этого места. Точка подключения ldap-это ldap.something.com:636 и доступна для пинга в обоих местах с одним и тем же полным доменным именем.
но при pinged он разрешает другой ip-адрес в каждое офисное помещение. Почему я вижу такое поведение?
сертификаты SSL каким-то образом привязаны к определенному IP-адресу?
Если да, то мне нужно поддерживать различный набор сертификатов для каждого офиса, верно?
обратите внимание, что нет способа настроить dns-серверы для разрешения имени хоста на тот же IP-адрес, я проверил.
может кто - нибудь дать некоторое представление?
3 ответов:
SSL-сертификаты привязаны к "общему имени", которое обычно является полным доменным именем, но может быть подстановочным именем (например. *.domain.com) или даже IP-адрес, но это обычно не так.
в вашем случае вы получаете доступ к серверу LDAP по имени хоста, и похоже, что на двух ваших серверах LDAP установлены разные сертификаты SSL. Можете ли вы просмотреть (или загрузить и просмотреть) сведения о сертификате SSL? Каждый SSL сертификат будет иметь уникальные серийные номера и отпечаток пальца, который должен будет соответствовать. Я предполагаю, что сертификат отклоняется, поскольку эти данные не совпадают с тем, что находится в вашем хранилище сертификатов.
ваше решение будет заключаться в том, чтобы оба сервера LDAP имели один и тот же сертификат SSL.
BTW-обычно вы можете переопределить записи DNS на своей рабочей станции, отредактировав локальный файл "hosts", но я бы не рекомендовал этого.
большинство сертификатов SSL привязаны к имени хоста машины, а не к ip-адресу.
вы можете получить лучший ответ, если зададите этот вопрос serverfault.com
сертификаты SSL будут привязаны к имени хоста, а не к IP, если они настроены стандартным способом. Поэтому он работает на одном сайте, а не на другом.
даже если серверы используют одно и то же имя хоста, они могут иметь два разных сертификата, и поэтому WebSphere будет иметь проблему доверия сертификатов, поскольку он не сможет распознать сертификат на втором сервере, поскольку он отличается от первого.
Comments