SSL 证书是否绑定到服务器 IP 地址？

Question

我们在两个不同的实际办公地点有两个不同的 ldap 提供程序。

当我将笔记本电脑连接到一个位置并“从端口检索”（在 Websphere 6.1 中）以导入 ldap 提供程序的 ssl 证书时，我可以毫无问题地对相应的 ldap 进行身份验证。如果我把我的笔记本电脑带到另一个办公室（默认情况下使用另一个 ldap 提供程序）并插入我的笔记本电脑，我的笔记本电脑上的 WAS 将无法启动，因为它显示“找不到受信任的 ssl 证书”。

如果我再次“从端口检索”并重新导入证书，那么它会再次起作用。

请注意，我的 WAS 总是尝试连接到一个 ldap，它对另一个没有用处。

如果我回到另一个办公室，我会收到同样的错误，直到我从那个位置重新导入。 ldap 连接点是 ldap.something.com:636，并且可以在具有相同 FQDN 的两个位置 ping。

但在 ping 时，它会解析为每个办公地点的不同 IP 地址。为什么我会看到这种行为？

SSL 证书是否以某种方式绑定到特定 IP 地址？

如果是，那么我需要为每个办公地点维护一组不同的证书，对吗？

请注意，没有办法调整 dns 服务器以将主机名解析为相同的 IP 地址，我检查了。

有人可以提供一些见解吗？

Answer 1

大多数 SSL 证书都绑定到机器的主机名而不是 IP 地址。

如果您在 serverfault.com 上提出此问题，您可能会得到更好的答案

Answer 2

如果 SSL 证书以标准方式设置，它们将绑定到主机名而不是 IP。因此，为什么它在一个站点而不是另一个站点上工作。

即使服务器共享相同的主机名，它们也可能有两个不同的证书，因此 WebSphere 将出现证书信任问题，因为它无法识别第二台服务器上的证书，因为它与第一台服务器不同。

Answer 3

SSL 证书绑定到“通用名称”，该名称通常是完全限定的域名，但也可以是通配符名称（例如 *.domain.com）甚至是 IP 地址，但通常不是。

在您的情况下，您通过主机名访问 LDAP 服务器，听起来您的两个 LDAP 服务器安装了不同的 SSL 证书。您是否可以查看（或下载并查看）SSL 证书的详细信息？每个 SSL 证书都有一个唯一的序列号和指纹，需要匹配。我认为证书被拒绝，因为这些详细信息与您的证书存储中的内容不匹配。

您的解决方案是确保两个 LDAP 服务器都安装了相同的 SSL 证书。

顺便说一句 - 您通常可以通过编辑本地“主机”文件来覆盖工作站上的 DNS 条目，但我不建议这样做。