80

我们在两个不同的物理办公地点有两个不同的 ldap 提供程序。

当我将笔记本电脑连接到一个位置并“从端口检索”(在 Websphere 6.1 中)以导入 ldap 提供程序的 ssl 证书时,我可以毫无问题地对相应的 ldap 进行身份验证。如果我将笔记本电脑带到另一个办公室(默认情况下使用另一个 ldap 提供程序)并插入笔记本电脑,则笔记本电脑上的 WAS 将无法启动,因为它显示“未找到受信任的 ssl 证书”。

如果我再次“从端口检索”并重新导入证书,那么它会再次起作用。

请注意,我的 WAS 总是尝试连接到一个 ldap,它对另一个没有用处。

如果我回到另一个办公室,我会得到同样的错误,直到我从那个位置重新导入。ldap 连接点是 ldap.something.com:636,并且可以在具有相同 FQDN 的两个位置进行 ping 操作。

但是当被 ping 时,它会解析为每个办公地点的不同 IP 地址。为什么我会看到这种行为?

SSL 证书是否以某种方式绑定到特定的 IP 地址?

如果是,那么我需要为每个办公地点维护一组不同的证书,对吗?

请注意,我检查过,无法调整 dns 服务器以将主机名解析为相同的 IP 地址。

有人可以提供一些见解吗?

4

3 回答 3

72

SSL 证书绑定到“通用名称”,通常是完全限定的域名,但也可以是通配符名称(例如 *.domain.com)甚至是 IP 地址,但通常不是。

在您的情况下,您通过主机名访问 LDAP 服务器,听起来您的两个 LDAP 服务器安装了不同的 SSL 证书。您是否可以查看(或下载并查看)SSL 证书的详细信息?每个 SSL 证书都有一个唯一的序列号和指纹,需要匹配。我认为证书被拒绝,因为这些详细信息与您的证书存储中的内容不匹配。

您的解决方案是确保两个 LDAP 服务器都安装了相同的 SSL 证书。

顺便说一句-您通常可以通过编辑本地“主机”文件来覆盖工作站上的 DNS 条目,但我不建议这样做。

于 2009-07-13T12:54:12.237 回答
5

大多数 SSL 证书都绑定到机器的主机名而不是 IP 地址。

如果您在 serverfault.com 上提出此问题,您可能会得到更好的答案

于 2009-07-08T01:58:12.063 回答
5

如果 SSL 证书以标准方式设置,它们将绑定到主机名而不是 IP。因此,为什么它在一个站点而不是另一个站点上工作。

即使服务器共享相同的主机名,它们也可能有两个不同的证书,因此 WebSphere 将出现证书信任问题,因为它无法识别第二台服务器上的证书,因为它与第一台服务器不同。

于 2009-07-13T12:02:39.670 回答