我们在两个不同的物理办公室位置有两个不同的ldap提供程序。
当我将我的笔记本电脑连接到一个位置并“从端口检索”(在Websphere 6.1中)以导入ldap提供商的ssl证书时,我可以毫无问题地向相应的ldap进行身份验证。如果我将我的笔记本电脑带到另一个办公室(默认情况下使用其他ldap提供商),并插入我的笔记本电脑,我的笔记本电脑将无法启动,因为它显示“找不到受信任的ssl证书”。
如果我再次“从端口检索”并重新导入证书,那么它将再次工作。
请注意,我的WAS总是尝试连接到一个ldap,它对另一个ldap没有任何用处。
如果我回到另一个办公室,我会得到相同的错误,直到我从那个位置重新导入。ldap连接点是ldap.something.com:636,并且可以使用相同的FQDN在两个位置执行point操作。
但当被pinged时,它会在每个办公室位置解析为不同的ip地址。为什么我会看到这种行为?
SSL证书是否以某种方式绑定到特定的IP地址?
如果是,那么我需要为每个办公地点维护一组不同的证书,对吗?
请注意,我检查了一下,没有办法调整dns服务器来将主机名解析为相同的IP地址。
有人能提供一些见解吗?
发布于 2009-07-13 12:54:12
SSL证书绑定到一个“通用名称”,它通常是一个完全限定的域名,但也可以是一个通配符(例如,*.domain.com),甚至是一个IP地址,但通常不是。
在您的示例中,您是通过主机名访问LDAP服务器的,而且听起来您的两个LDAP服务器安装了不同的SSL证书。您是否能够查看(或下载并查看) SSL证书的详细信息?每个SSL证书都有一个需要匹配的唯一序列号和指纹。我假设证书被拒绝,因为这些详细信息与证书存储中的内容不匹配。
您的解决方案是确保两个LDAP服务器安装了相同的SSL证书。
顺便说一句,你通常可以通过编辑一个本地的'hosts‘文件来覆盖你的工作站上的DNS条目,但我不建议这样做。
发布于 2009-07-08 01:58:12
大多数SSL证书都绑定到计算机的主机名,而不是ip地址。
如果你在serverfault.com上问这个问题,你可能会得到更好的答案
发布于 2009-07-13 12:02:40
如果以标准方式设置,则SSL证书将绑定到主机名,而不是IP。这就是为什么它在一个站点而不是另一个站点上工作。
即使服务器共享相同的主机名,它们也可能有两个不同的证书,因此WebSphere将存在证书信任问题,因为它无法识别第二个服务器上的证书,因为它与第一个服务器不同。
https://stackoverflow.com/questions/1095780
复制相似问题