web-dev-qa-db-ja.com

SSL証明書はサーバーのIPアドレスにバインドされていますか?

2つの異なる物理的なオフィスの場所に2つの異なるLDAPプロバイダーがあります。

ラップトップを1つの場所に接続し、LDAPプロバイダーのSSL証明書をインポートするために(Websphere 6.1で)「ポートから取得」すると、問題なくそれぞれのLDAPを認証できます。ラップトップを他のオフィス(デフォルトでは他のldapプロバイダーを使用)に持ち込んで、ラップトップをプラグインすると、「信頼できるSSL証明書が見つかりません」と表示されるため、ラップトップのWASは起動しません。

「ポートから再度取得」して証明書を再インポートすると、再び機能します。

私のWASは常に1つのldapに接続しようとすることに注意してください。それは単に他のldapを使用しません。

他のオフィスに戻ると、その場所から再インポートするまで同じエラーが発生します。 ldap接続ポイントはldap.something.com:636であり、同じFQDNを使用して両方の場所でping可能です。

ただし、pingを実行すると、オフィスの場所ごとに異なるIPアドレスに解決されます。なぜ私はその動作を見ますか?

SSL証明書は何らかの形で特定のIPアドレスにバインドされていますか?

はいの場合、オフィスの場所ごとに異なる証明書セットを維持する必要がありますか?

DNSサーバーを調整してホスト名を同じIPアドレスに解決する方法はないことに注意してください。

誰かが洞察を提供できますか?

63
fnCzar

SSL証明書は「一般名」にバインドされます。これは通常完全修飾ドメイン名ですが、ワイルドカード名(例:* .domain.com)またはIPアドレスでもかまいませんが、通常はそうではありません。

あなたの場合、ホスト名でLDAPサーバーにアクセスしているため、2つのLDAPサーバーに異なるSSL証明書がインストールされているようです。 SSL証明書の詳細を表示(またはダウンロードして表示)できますか?各SSL証明書には一意のシリアル番号と指紋があり、それらは一致する必要があります。これらの詳細が証明書ストアにあるものと一致しないため、証明書が拒否されていると思われます。

解決策は、両方のLDAPサーバーに同じSSL証明書がインストールされていることを確認することです。

ところで-通常、ローカルの「hosts」ファイルを編集することで、ワークステーション上のDNSエントリを上書きできますが、これはお勧めしません。

64
Alex

SSL証明書は、標準的な方法でセットアップされている場合、IPではなくホスト名にバインドされます。したがって、なぜ他のサイトではなく1つのサイトで機能するのか。

サーバーが同じホスト名を共有している場合でも、2つの異なる証明書を持っている可能性があります。したがって、WebSphereは2番目のサーバーとは異なるため、2番目のサーバーの証明書を認識できないため、証明書の信頼の問題が発生します。

5
mransley

ほとんどのSSL証明書は、IPアドレスではなくマシンのホスト名にバインドされています。

Serverfault.comでこの質問をすると、より良い回答が得られる場合があります

5
Jared