Привязаны ли сертификаты SSL к IP-адресу серверов?

У нас есть два разных провайдера LDAP в двух разных офисах.

Когда я подключаю свой ноутбук к одному месту и «извлекаю из порта» (в Websphere 6.1) для импорта сертификата ssl провайдера ldap, я могу без проблем пройти аутентификацию на соответствующем ldap. Если я возьму свой ноутбук в другой офис (который по умолчанию использует другого поставщика ldap) и подключу свой ноутбук, мой WAS на моем ноутбуке не запустится, потому что он говорит: «Не найден доверенный сертификат ssl».

Если я снова «извлекаю из порта» и повторно импортирую сертификат, он снова работает.

Обратите внимание, что мой WAS всегда пытается подключиться к одному ldap, другой он просто бесполезен.

Если я вернусь в другой офис, я получаю ту же ошибку до тех пор, пока не буду повторно импортирован из этого места. Точка подключения ldap - ldap.something.com:636 и доступна для проверки связи в обоих местах с одним и тем же полным доменным именем.

Но при пинге он разрешает разные IP-адреса в каждом офисе. Почему я вижу такое поведение?

Связываются ли сертификаты SSL как-то с определенным IP-адресом?

Если да, то мне нужно поддерживать разные наборы сертификатов для каждого офиса, верно?

Обратите внимание, что нет возможности настроить DNS-серверы для разрешения имени хоста на тот же IP-адрес, который я проверил.

Может ли кто-нибудь дать некоторое представление?


ssl-certificate websphere
person fnCzar    schedule 08.07.2009    source источник

Ответы (3)


arrow_upward
71
arrow_downward

Сертификаты SSL привязаны к «общему имени», которое обычно является полностью определенным доменным именем, но может быть именем с подстановочным знаком (например, * .domain.com) или даже IP-адресом, но обычно это не так.

В вашем случае вы получаете доступ к своему серверу LDAP по имени хоста, и похоже, что на ваших двух серверах LDAP установлены разные сертификаты SSL. Можете ли вы просмотреть (или загрузить и просмотреть) сведения о сертификате SSL? Каждый сертификат SSL будет иметь уникальные серийные номера и отпечатки пальцев, которые необходимо сопоставить. Я предполагаю, что сертификат отклонен, так как эти данные не соответствуют тому, что находится в вашем хранилище сертификатов.

Ваше решение будет заключаться в том, чтобы на обоих серверах LDAP был установлен один и тот же сертификат SSL.

Кстати, вы обычно можете переопределить записи DNS на своей рабочей станции, отредактировав локальный файл hosts, но я бы не рекомендовал этого.

person Alex    schedule 13.07.2009
comment
Как можно использовать / зарегистрировать SSL-сертификат для IP-адреса? - person i486; 31.01.2019

arrow_upward
5
arrow_downward

Большинство сертификатов SSL привязаны к имени хоста машины, а не к IP-адресу.

Вы можете получить лучший ответ, если зададите этот вопрос на serverfault.com.

person Jared    schedule 08.07.2009
comment
Вы действительно имеете в виду имя хоста или доменное имя обслуживаемого сайта? На одном сервере с именем хоста despair могут размещаться как foo.com, так и bar.net веб-сайты. - person dotancohen; 13.05.2014
comment
Это не отвечает на вопрос. - person Pavlo; 11.12.2015
comment
@Pavlo .. Нет, но он ставит под сомнение ответ, правильно. - person Gavin Jackson; 05.06.2018

arrow_upward
5
arrow_downward

Сертификаты SSL будут привязаны к имени хоста, а не к IP, если они настроены стандартным способом. Поэтому он работает на одном сайте, а не на другом.

Даже если серверы используют одно и то же имя хоста, у них вполне могут быть два разных сертификата, и, следовательно, WebSphere будет иметь проблему с доверием к сертификату, поскольку он не сможет распознать сертификат на втором сервере, поскольку он отличается от первого.

person mransley    schedule 13.07.2009
comment
Один из ответов технического агента хостинг-провайдера, например: SSL подписан на этот конкретный IP-адрес, его необходимо будет перевыпустить, если вы планируете переместить IP-адрес сайта, использующего SSL. - person Bimal Poudel; 27.07.2014