我们在两个不同的实体办公地点有两个不同的ldap提供商。
当我将笔记本电脑连接到一个位置并且我从端口'(在Websphere 6.1中)检索以导入ldap提供程序的ssl证书时,我可以对相应的ldap进行身份验证,没有任何问题。如果我将笔记本电脑带到另一个办公室(默认情况下使用其他ldap提供商)并且我插入笔记本电脑,我的笔记本电脑上的WAS将无法启动,因为它显示“找不到可靠的ssl证书”。
如果我再次从端口'检索并重新导入证书,那么它将再次运行。
请注意,我的WAS总是尝试连接到一个ldap,它对另一个没用。
如果我回到另一个办公室,我会收到相同的错误,直到我从该位置重新导入。 ldap连接点是ldap.something.com:636,并且在具有相同FQDN的两个位置都可以ping。
但是当它被ping时,它会解析为每个办公地点的不同IP地址。为什么我会看到这种行为?
SSL Certs是否以某种方式绑定到特定的IP地址?
如果是,那么我需要为每个办公地点维护一套不同的证书,对吗?
请注意,我没有办法调整dns服务器以将主机名解析为相同的IP地址,我查了一下。
有人可以提供一些见解吗?
答案 0 :(得分:64)
SSL证书绑定到“通用名称”,通常是完全限定的域名,但可以是通配符名称(例如。* .domain.com),甚至是IP地址,但通常不是。
在您的情况下,您通过主机名访问LDAP服务器,听起来您的两个LDAP服务器安装了不同的SSL证书。您是否能够查看(或下载和查看)SSL证书的详细信息?每个SSL证书都有一个唯一的序列号和指纹,需要匹配。我认为证书被拒绝,因为这些详细信息与证书库中的内容不符。
您的解决方案是确保两台LDAP服务器都安装了相同的SSL证书。
顺便说一句 - 您通常可以通过编辑本地“主机”文件覆盖工作站上的DNS条目,但我不建议这样做。
答案 1 :(得分:5)
大多数SSL证书都绑定到计算机的主机名,而不是IP地址。
如果您在serverfault.com上提出此问题,您可能会得到更好的答案
答案 2 :(得分:5)
如果以标准方式设置SSL证书,它们将绑定到主机名而不是IP。因此,为什么它在一个站点而不是另一个站点工作。
即使服务器共享相同的主机名,它们也可能具有两个不同的证书,因此WebSphere将具有证书信任问题,因为它将无法识别第二台服务器上的证书,因为它与第一台服务器不同。