SSL证书是否绑定到服务器的IP地址?


76

我们在两个不同的物理办公室位置有两个不同的ldap提供程序。

当我将笔记本电脑连接到一个位置并“从端口检索”(在Websphere 6.1中)以导入ldap提供程序的ssl证书时,我可以毫无问题地向相应的ldap进行身份验证。如果我将笔记本电脑带到其他办公室(默认情况下使用其他ldap提供程序)并且插入了笔记本电脑,则笔记本电脑上的WAS将无法启动,因为它显示“未找到可信任的ssl证书”。

如果我再次从端口“检索”并重新导入证书,那么它将再次起作用。

请注意,我的WAS始终尝试连接到一个ldap,而对另一个ldap根本没有用。

如果我回到另一个办公室,则会遇到相同的错误,直到我从该位置重新导入为止。ldap连接点是ldap.something.com:636,并且可以在两个位置使用相同的FQDN进行ping操作。

但是,当ping通时,它将解析为每个办公室位置中的不同IP地址。为什么我看到这种行为?

SSL证书是否以某种方式绑定到特定IP地址?

如果是,那么我需要为每个办公地点维护一套不同的证书,对吗?

请注意,我没有办法调整dns服务器以将主机名解析为相同的IP地址。

有人可以提供一些见识吗?

Answers:


70

SSL证书绑定到“公用名”,“公用名”通常是完全限定的域名,但可以是通配符名称(例如* .domain.com),甚至可以是IP地址,但通常不是。

在您的情况下,您正在通过主机名访问LDAP服务器,这听起来像您的两个LDAP服务器安装了不同的SSL证书。您是否可以查看(或下载并查看)SSL证书的详细信息?每个SSL证书将具有唯一的序列号和指纹,需要进行匹配。我认为证书被拒绝了,因为这些详细信息与您的证书库中的信息不匹配。

您的解决方案是确保两个LDAP服务器都安装了相同的SSL证书。

顺便说一句-您通常可以通过编辑本地“主机”文件来覆盖工作站上的DNS条目,但我不建议这样做。


1
如何使用/注册SSL证书作为IP地址?
i486

5

大多数SSL证书都绑定到计算机的主机名,而不是IP地址。

如果您在serverfault.com上问这个问题,可能会得到更好的答案


5
您的意思是主机名,还是服务站点的域名?具有主机名的一台服务器despair可以同时托管foo.combar.net网站。
dotancohen

19
这不能回答问题。
帕夫洛2015年

3
@Pavlo ..不,但是它确实对答案提出了疑问。
加文·杰克逊

5

如果以标准方式设置,则SSL证书将绑定到主机名而不是IP。因此,为什么它在一个站点而不是另一个站点起作用。

即使服务器共享相同的主机名,它们也可能具有两个不同的证书,因此WebSphere将出现证书信任问题,因为它无法识别第二台服务器上的证书,因为它与第一台服务器不同。


2
托管服务提供商技术代理响应之一,例如:SSL已签名到该特定IP地址,如果您计划移动使用SSL的站点的IP地址,则需要重新发布SSL。
Bimal Poudel 2014年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.