fnC*_*zar 64 websphere ssl-certificate
我们在两个不同的物理办公地点有两个不同的ldap提供商.
当我将笔记本电脑连接到一个位置并且我从端口'(在Websphere 6.1中)检索以导入ldap提供程序的ssl证书时,我可以在没有问题的情况下对相应的ldap进行身份验证.如果我将笔记本电脑带到另一个办公室(默认情况下使用其他ldap提供商)并且我插入笔记本电脑,我的笔记本电脑上的WAS将无法启动,因为它显示"找不到可靠的ssl证书".
如果我再次从端口'检索并重新导入证书,那么它再次起作用.
请注意,我的WAS总是尝试连接到一个ldap,它对另一个没有用.
如果我回到另一个办公室,我会得到同样的错误,直到我从该位置重新导入.ldap连接点是ldap.something.com:636,并且在具有相同FQDN的两个位置都可以ping.
但是当它被ping时,它会解析为每个办公地点的不同IP地址.为什么我会看到这种行为?
SSL Certs是否以某种方式绑定到特定的IP地址?
如果是,那么我需要为每个办公地点维护一套不同的证书,对吧?
请注意,我检查过无法调整dns服务器以将主机名解析为相同的IP地址.
有人能提供一些见解吗?
Ale*_*lex 64
SSL证书绑定到"通用名称",通常是完全限定的域名,但可以是通配符名称(例如.*.domain.com),甚至是IP地址,但通常不是.
在您的情况下,您通过主机名访问LDAP服务器,听起来您的两个LDAP服务器安装了不同的SSL证书.您是否能够查看(或下载和查看)SSL证书的详细信息?每个SSL证书都有一个唯一的序列号和指纹,需要匹配.我认为证书被拒绝,因为这些详细信息与证书库中的内容不匹配.
您的解决方案是确保两台LDAP服务器都安装了相同的SSL证书.
顺便说一句 - 您通常可以通过编辑本地"主机"文件来覆盖工作站上的DNS条目,但我不建议这样做.
大多数SSL证书都绑定到计算机的主机名,而不是IP地址.
如果您在serverfault.com上提出此问题,您可能会得到更好的答案
如果以标准方式设置SSL证书,它们将绑定到主机名而不是IP.因此,为什么它在一个站点而不是另一个站点工作.
即使服务器共享相同的主机名,它们也可能具有两个不同的证书,因此WebSphere将具有证书信任问题,因为它将无法识别第二台服务器上的证书,因为它与第一台服务器不同.
| 归档时间: |
|
| 查看次数: |
104861 次 |
| 最近记录: |