Сертификаты SSL привязаны к IP-адресу серверов?

У нас есть два разных провайдера ldap в двух разных физических офисах.

Когда я подключаю свой ноутбук к одному месту, и я "получаю из порта" (в Websphere 6.1), чтобы импортировать сертификат ssl поставщика ldap, я могу без проблем проверить подлинность на соответствующем ldap. Если я возьму свой ноутбук в другой офис (который по умолчанию использует другой провайдер ldap), и я подключу свой ноутбук, мой WAS на моем ноутбуке не запустится, потому что он говорит: "нет доверенного ssl cert found".

Если я снова получаю из порта и повторно импортирую сертификат, он снова работает.

Обратите внимание, что мой WAS всегда пытается подключиться к одному ldap, он просто не нужен для другого.

Если я вернусь в другой офис, я получаю ту же ошибку, пока я не reimport из этого места. Точка соединения ldap - это ldap.something.com:636 и может быть pingable в обоих местах с тем же FQDN.

Но при pinged он решает другой ip-адрес в каждом офисе. Почему я вижу это поведение?

Являются ли сертификаты SSL каким-то образом привязаны к определенному IP-адресу?

Если да, то мне нужно поддерживать другой набор сертификатов для каждого офиса, не так ли?

Обратите внимание, что нет способа настроить DNS-серверы для разрешения имени хоста на тот же IP-адрес, я проверил.

Может кто-нибудь дать некоторое представление?

Ответ 1

SSL-сертификаты привязаны к "общему имени", которое обычно является полным доменным именем, но может быть подстановочным именем (например. *.domain.com) или даже IP-адресом, но обычно это не так.

В вашем случае вы получаете доступ к вашему LDAP-серверу с помощью имени хоста, и похоже, что у ваших двух серверов LDAP установлены разные сертификаты SSL. Можете ли вы просмотреть (или загрузить и просмотреть) информацию о сертификате SSL? Каждый сертификат SSL будет иметь уникальные серийные номера и отпечатки пальцев, которые необходимо будет сопоставить. Я предполагаю, что сертификат отклоняется, поскольку эти данные не соответствуют тому, что находится в вашем хранилище сертификатов.

Ваше решение будет состоять в том, чтобы гарантировать, что оба LDAP-сервера имеют одинаковый сертификат SSL.

BTW - вы обычно можете переопределять записи DNS на своей рабочей станции, редактируя локальный файл "hosts", но я бы не рекомендовал этого.

Ответ 2

Большинство сертификатов SSL привязаны к имени хоста машины, а не к ip-адресу.

Вы можете получить лучший ответ, если зададите этот вопрос на serverfault.com

Ответ 3

SSL-сертификаты будут привязаны к имени хоста, а не IP, если они настроены стандартным образом. Следовательно, почему он работает на одном сайте, а не на другом.

Даже если серверы имеют одно и то же имя хоста, у них могут быть два разных сертификата, и, следовательно, у WebSphere будет проблема с сертификатом, так как он не сможет распознать сертификат на втором сервере, поскольку он отличается от первого.