SSL證書是否綁定到服務器的IP地址？

Question

我們在兩個不同的實體辦公地點有兩個不同的ldap供應商。

當我將筆記本電腦連接到一個位置，並且從端口'檢索（在Websphere 6.1中）以導入ldap提供程序的ssl證書時，我可以對相應的ldap進行身份驗證，而不會出現任何問題。如果我將筆記本電腦帶到其他辦公室（默認情況下使用其他ldap提供程序）並插入我的筆記本電腦，筆記本電腦上的WAS將無法啓動，因爲它顯示'找不到可信的ssl證書'。

如果我'再次從端口'檢索並重新導入證書，然後再次工作。

注意，我總是嘗試連接到一個LDAP，它只是沒有用另一種。

如果我回去的其他辦公我得到同樣的錯誤，直到我從該位置重新導入。 ldap連接點是ldap.something.com:636，並且可以在兩個位置使用相同的FQDN進行ping命令。

但是，當它拼寫時，它解析爲在每個辦公室的位置不同的IP地址。爲什麼我看到這種行爲？

SSL Certs是否以某種方式綁定到特定的IP地址？

如果是，那麼我需要爲每個辦公地點維護一套不同的證書，對吧？

需要注意的是，有沒有辦法調整的DNS服務器來解析主機名到同一個IP地址，我檢查。

有人可以提供一些見解嗎？

Answer 1

SSL證書綁定到一個「共同的名字」，這通常是一個完全合格的域名，但可以是一個通配符名稱（例如* .domain.com）或甚至一個IP地址，但它通常是不。

在你的情況，你是一個主機名訪問LDAP服務器和它聽起來像你的兩個LDAP服務器安裝不同的SSL證書。您能查看（或下載並查看）SSL證書的詳細信息嗎？每個SSL證書都有一個唯一的序列號和指紋，需要匹配。我假設證書被拒絕，因爲這些細節與您的證書存儲區中的內容不匹配。

您的解決方案將確保兩臺LDAP服務器都安裝了相同的SSL證書。

順便說一句 - 你通常可以通過編輯本地的hosts文件來覆蓋你的工作站上的DNS條目，但我不會推薦。

Answer 2

大多數SSL證書綁定到機器的主機名而不是IP地址。

，如果你問這個問題上serverfault.com

Answer 3

的SSL證書將會被綁定到主機名，而不是IP，如果他們在標準的方式設置你可能會得到更好的答案。因此，它爲什麼在一個地點而不是另一個地點運作。

即使服務器共享相同的主機名，它們也可能擁有兩個不同的證書，因此WebSphere將具有證書信任問題，因爲它不能識別第二個服務器上的證書，因爲它與第一個服務器不同。