1. casa
  2. Domanda e risposta
  3. I certificati SSL sono associati all'indirizzo IP del server?

I certificati SSL sono associati all'indirizzo IP del server?

2009-07-08 21 views
48

Abbiamo due diversi fornitori di LDAP in due diversi uffici fisici.I certificati SSL sono associati all'indirizzo IP del server?

Quando collego il mio portatile a una posizione e "recupero dalla porta" (in Websphere 6.1) per importare il certificato SSL del provider LDAP, posso autenticare il rispettivo ldap senza problemi. Se porto il mio portatile all'altro ufficio (che utilizza l'altro provider LDAP per impostazione predefinita) e collego il mio laptop, il mio WAS sul mio laptop non verrà avviato perché dice "non è stato trovato alcun certificato attendibile di sicurezza SSL".

Se "recupero dalla porta" di nuovo e reimportare il certificato, funziona di nuovo.

Si noti che il mio WAS ha sempre cercato di connettersi a un LDAP, semplicemente non ha alcuna utilità per l'altro.

Se torno all'altro ufficio ottengo lo stesso errore fino a quando non reimportato da quella posizione. Il punto di connessione ldap è ldap.something.com:636 ed è pingable in entrambe le posizioni con lo stesso FQDN.

Ma quando viene eseguito il ping, si risolve in un indirizzo IP diverso in ciascuna sede dell'ufficio. Perché vedo questo comportamento?

I certificati SSL sono in qualche modo associati a uno specifico indirizzo IP?

Se sì, allora ho bisogno di mantenere un diverso set di certificati per ogni ufficio, giusto?

Si noti che, non è possibile regolare i server DNS per risolvere il nome host con lo stesso indirizzo IP, ho verificato.

Qualcuno può fornire qualche intuizione?

fonte

2009-07-08 fnCzar

risposta

47

I certificati SSL sono associati a un "nome comune", che di solito è un nome di dominio completo ma può essere un nome con caratteri jolly (ad esempio * .dominio.com) o anche un indirizzo IP, ma di solito non è .

Nel tuo caso, stai accedendo al tuo server LDAP da un nome host e sembra che i tuoi due server LDAP abbiano certificati SSL diversi installati. Sei in grado di visualizzare (o scaricare e visualizzare) i dettagli del certificato SSL? Ogni certificato SSL avrà un numero seriale e un'impronta digitale univoci che dovranno corrispondere. Presumo che il certificato venga rifiutato in quanto questi dettagli non corrispondono a quelli contenuti nell'archivio certificati.

La soluzione è garantire che entrambi i server LDAP abbiano lo stesso certificato SSL installato.

BTW: è possibile sovrascrivere le voci DNS sulla workstation modificando un file "host" locale, ma non lo consiglio.

fonte

2009-07-13 12:54:12 Alex

8

La maggior parte dei certificati SSL è associata al nome host della macchina e non all'indirizzo IP.

Si potrebbe ottenere una risposta migliore se si chiede a questa domanda su serverfault.com

fonte

2009-07-08 01:58:12 Jared

+2

Si intende veramente nome host o si intende il nome dominio del sito che viene offerto? Un server con l'hostname 'despair' può ospitare sia i siti' foo.com' che 'bar.net'. – dotancohen

+6

Questo non risponde alla domanda. – Pavlo

6

I certificati SSL stanno per essere vincolato a nome host, piuttosto che IP se sono l'installazione in modo standard. Quindi perché funziona su un sito piuttosto che sull'altro.

Anche se i server condividono lo stesso hostname potrebbero avere due certificati diversi e quindi WebSphere avrà un problema di certificato di trust in quanto non sarà in grado di riconoscere il certificato sul secondo server poiché è diverso dal primo .

fonte

2009-07-13 12:02:39

+1

Una delle risposte dell'agente tecnico del provider di hosting come: L'SSL è firmato per quello specifico indirizzo IP, dovrà essere riemesso se si intende spostare l'indirizzo IP del sito che utilizza SSL. –

Problemi correlati

 Problemi correlati