Son los certificados SSL con destino a la dirección IP de los servidores?

Question

Tenemos dos proveedores LDAP diferentes en dos lugares diferentes de oficina física.

Cuando conecto el ordenador portátil a una localización y Me recupero del puerto »(en Websphere 6.1) para importar el certificado SSL del proveedor LDAP, puedo autenticarse en el LDAP correspondiente sin problemas. Si tomo mi portátil a la otra oficina (que utiliza otro proveedor LDAP por defecto) y me Plugin mi portátil, mi estaba en mi ordenador portátil no arranca porque dice 'no certificado SSL de confianza encontrado'.

Si estoy en Recuperar de puerto 'de nuevo y volver a importar el CERT entonces funciona de nuevo.

Tenga en cuenta que mi siempre fue tratar de conectarse a un LDAP, simplemente no tiene ningún uso para el otro.

Si vuelvo a la otra oficina consigo el mismo error hasta que vuelva a importar desde esa ubicación. El punto de conexión LDAP es ldap.something.com:636 y es pingable en ambos lugares con el mismo FQDN.

Pero cuando pinged se resuelve a una dirección IP diferente en cada ubicación de la oficina. ¿Por qué veo que el comportamiento?

Están certificados SSL de alguna manera con destino a una dirección IP específica?

Si es así, entonces necesito para mantener un conjunto diferente de los CERT para cada ubicación de la oficina, ¿verdad?

Tenga en cuenta que, no hay manera de ajustar los servidores DNS para resolver el nombre de host a la misma dirección IP, lo he comprobado.

Puede alguien dar una idea?

Answer 1

Los certificados SSL se unen a un 'nombre común', que suele ser un nombre de dominio completo, pero puede ser un nombre comodín (por ejemplo. * .Dominio.com) o incluso una dirección IP, pero por lo general no lo es.

En su caso, usted está accediendo a su servidor LDAP mediante un nombre de host y suena como sus dos servidores LDAP tienen diferentes certificados SSL instalado. ¿Es capaz de ver (o descargar y ver) los detalles del certificado SSL? Cada certificado SSL tendrá un único número de serie y huellas dactilares, que tendrá que coincidir. Asumo que el certificado está siendo rechazado, ya que estos datos no coinciden con lo que está en su almacén de certificados.

Su solución será asegurar que ambos servidores LDAP tienen instalado el mismo certificado SSL.

Por cierto - que normalmente puede anular las entradas DNS en su estación de trabajo mediante la edición de un archivo de locales 'anfitriones', pero yo no recomendaría este.

Answer 2

La mayoría de los certificados SSL están ligados al nombre de host de la máquina y no la dirección IP.

Es posible obtener una mejor respuesta si usted hace esta pregunta en serverfault.com

Answer 3

El certificados SSL van a estar obligado a nombre de host en lugar de IP si son iniciado de la manera estándar. De ahí por qué funciona en un sitio en lugar de la otra.

Aunque los servidores comparten el mismo nombre de host que bien puede tener dos certificados diferentes y por lo tanto WebSphere tendrán un problema de certificados de confianza, ya que no será capaz de reconocer el certificado en el segundo servidor, ya que es diferente a la primera.