Чи прив’язані сертифікати SSL до ip-адреси серверів?


76

У нас є два різних постачальника ldap в двох різних офісах.

Коли я підключаю свій ноутбук до одного місця, і я отримую з порту (у Websphere 6.1), щоб імпортувати ssl-сертифікат постачальника ldap, я можу пройти автентифікацію у відповідному ldap без проблем. Якщо я перенесу свій ноутбук в інший офіс (який використовує іншого постачальника ldap за замовчуванням), і я підключив свій ноутбук, мій WAS на моєму ноутбуці не запускатиметься, оскільки там написано „не знайдено надійного ssl-сертифіката“.

Якщо я знову "витягну з порту" та повторно імпортую сертифікат, він знову працює.

Зверніть увагу, що мій WAS завжди намагався підключитися до одного ldap, він просто не використовує іншого.

Якщо я повернусь в інший офіс, я отримаю ту ж помилку, поки не здійсню повторний імпорт із цього місця. Точка підключення ldap - ldap.something.com:636 і підлягає пропингуванню в обох місцях з однаковим FQDN.

Але при розписуванні він переходить на іншу ip-адресу в кожному офісі. Чому я бачу таку поведінку?

Чи є сертифікати SSL якимось чином прив'язаними до певної IP-адреси?

Якщо так, тоді мені потрібно підтримувати різний набір сертифікатів для кожного офісу, правда?

Зауважте, що немає можливості налаштувати сервери dns для визначення імені хосту на ту саму IP-адресу, я перевірив.

Хтось може надати трохи розуміння?

Відповіді:


70

Сертифікати SSL прив’язані до „загального імені”, яке зазвичай є повноцінним доменним ім’ям, але може бути і символом підстановки (наприклад, * .domain.com) або навіть IP-адресою, але зазвичай це не так.

У вашому випадку ви отримуєте доступ до свого сервера LDAP за іменем хосту, і схоже, на ваших двох серверах LDAP встановлені різні сертифікати SSL. Чи можете ви переглянути (або завантажити та переглянути) деталі сертифіката SSL? Кожен сертифікат SSL матиме унікальні серійні номери та відбитки пальців, які повинні відповідати. Я припускаю, що сертифікат відхилено, оскільки ці дані не збігаються з тим, що знаходиться у вашому сховищі сертифікатів.

Вашим рішенням буде забезпечити, щоб на обох серверах LDAP був встановлений однаковий сертифікат SSL.

До речі - ви можете зазвичай перевизначити записи DNS на своїй робочій станції, редагуючи локальний файл "hosts", але я б не рекомендував цього.


1
Як можна використовувати / зареєструвати SSL-сертифікат для IP-адреси?
i486

5

Більшість сертифікатів SSL прив’язані до імені хосту машини, а не до ip-адреси.

Ви можете отримати кращу відповідь, якщо задасте це запитання на serverfault.com


5
Ви справді маєте на увазі ім’я хосту, чи ви маєте на увазі доменне ім’я сайту, що обслуговується? Один сервер з іменем хосту despairможе розміщувати як веб-сайти, так foo.comі bar.netвеб-сайти.
dotancohen

19
Це не відповідає на питання.
Павло

3
@Pavlo .. Ні, але це правильно ставить під сумнів відповідь.
Гевін Джексон,

5

Сертифікати SSL будуть прив’язані до імені хосту, а не до IP, якщо вони встановлені стандартним способом. Отже, чому це працює на одному сайті, а не на іншому.

Навіть якщо сервери мають одне і те ж ім'я хосту, вони цілком можуть мати два різні сертифікати, а отже, WebSphere матиме проблему довіри до сертифікатів, оскільки він не зможе розпізнати сертифікат на другому сервері, оскільки він відрізняється від першого.


2
Один із відповідей технічного агента хостинг-провайдера, такий як: SSL підписаний на цю конкретну IP-адресу, його потрібно буде перевидати, якщо ви плануєте перемістити IP-адресу сайту, який використовує SSL.
Bimal Poudel
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.