我们在两个不同的物理办公地点有两个不同的 LDAP 提供商。
当我将笔记本电脑连接到一个位置并“从端口检索”(在 Websphere 6.1 中)以导入 ldap 提供商的 SSL 证书时,我可以毫无问题地对相应的 ldap 进行身份验证。如果我将我的笔记本电脑带到另一个办公室(默认情况下使用其他 ldap 提供商)并插入我的笔记本电脑,我笔记本电脑上的 WAS 将不会启动,因为它显示“未找到受信任的 SSL 证书”。
如果我再次“从端口检索”并重新导入证书,那么它会再次工作。
请注意,我的 WAS 总是尝试连接到一个 LDAP,它对另一个 LDAP 根本没有用处。
如果我回到另一个办公室,我会收到相同的错误,直到我从该位置重新导入。 ldap 连接点是
ldap.example.com:636但是当 ping 时,它会解析为每个办公地点的不同 IP 地址。为什么我会看到这种行为?
SSL 证书是否以某种方式绑定到特定的 IP 地址?
如果是,那么我需要为每个办公地点维护一组不同的证书,对吧?
请注意,我检查过,无法调整 DNS 服务器以将主机名解析为相同的 IP 地址。
有人可以提供一些见解吗?
SSL 证书绑定到“通用名称”,该名称通常是完全限定的域名,但可以是通配符名称(例如
*.example.com在您的情况下,您正在通过主机名访问 LDAP 服务器,听起来您的两个 LDAP 服务器安装了不同的 SSL 证书。您可以查看(或下载并查看)SSL 证书的详细信息吗?每个 SSL 证书都有一个唯一的序列号和指纹,需要匹配。我认为证书被拒绝,因为这些详细信息与您的证书存储中的内容不匹配。
您的解决方案是确保两个 LDAP 服务器安装了相同的 SSL 证书。
顺便说一句 - 您通常可以通过编辑本地“主机”文件来覆盖工作站上的 DNS 条目,但我不建议这样做。
如果以标准方式设置,SSL 证书将绑定到主机名而不是 IP。 这就是为什么它在一个站点而不是另一个站点上有效。
即使服务器共享相同的主机名,它们也可能拥有两个不同的证书,因此 WebSphere 将遇到证书信任问题,因为它无法识别第二个服务器上的证书,因为它与第一个服务器不同。
大多数 SSL 证书都绑定到计算机的主机名,而不是 IP 地址。
您可以将 IP 重定向到服务器上的安全网站:
<meta HTTP-EQUIV="REFRESH" content="0; url=https://example.com">