SSL证书是否绑定到服务器IP地址？

Question

我们在两个不同的物理办公地点有两个不同的 LDAP 提供商。

当我将笔记本电脑连接到一个位置并“从端口检索”（在 Websphere 6.1 中）以导入 ldap 提供程序的 SSL 证书时，我可以毫无问题地对相应的 ldap 进行身份验证。 如果我将笔记本电脑带到另一个办公室（默认情况下使用其他 ldap 提供商）并插入我的笔记本电脑，则笔记本电脑上的 WAS 将不会启动，因为它显示“未找到受信任的 SSL 证书”。

如果我再次“从端口检索”并重新导入证书，那么它会再次工作。

请注意，我的 WAS 总是尝试连接到一个 LDAP，它对另一个 LDAP 根本没有用处。

如果我返回另一个办公室，我会收到相同的错误，直到从该位置重新导入。 ldap 连接点为 ldap.example.com:636，并且可以在具有相同 FQDN 的两个位置进行 ping 操作。

但当 ping 时，它会解析为每个办公地点的不同 IP 地址。 为什么我会看到这种行为？

SSL 证书是否以某种方式绑定到特定 IP 地址？

如果是，那么我需要为每个办公地点维护一组不同的证书，对吗？

请注意，我检查过，无法调整 DNS 服务器以将主机名解析为相同的 IP 地址。

有人可以提供一些见解吗？

Answer 1

SSL 证书绑定到一个“通用名称”，该名称通常是完全限定的域名，但可以是通配符名称（例如 *.example.com），甚至是 IP 地址，但通常不是。

在您的情况下，您正在通过主机名访问 LDAP 服务器，听起来您的两个 LDAP 服务器安装了不同的 SSL 证书。 您可以查看（或下载并查看）SSL 证书的详细信息吗？ 每个 SSL 证书都有一个唯一的序列号和指纹，需要匹配。 我认为证书被拒绝，因为这些详细信息与您的证书存储中的内容不匹配。

您的解决方案是确保两个 LDAP 服务器安装了相同的 SSL 证书。

顺便说一句 - 您通常可以通过编辑本地“主机”文件来覆盖工作站上的 DNS 条目，但我不建议这样做。

Answer 2

如果以标准方式设置，SSL 证书将绑定到主机名而不是 IP。 这就是为什么它在一个站点而不是在另一个站点上起作用的原因。

即使服务器共享相同的主机名，它们也可能拥有两个不同的证书，因此 WebSphere 将遇到证书信任问题，因为它无法识别第二个服务器上的证书，因为它与第一个服务器不同。

Answer 3

大多数 SSL 证书都绑定到计算机的主机名而不是 IP 地址。

Answer 4

您可以将 IP 重定向到服务器上的安全网站：

<meta HTTP-EQUIV="REFRESH" content="0; url=https://example.com">

1. 使用 Apache 或 Nginx 查找 Web 根目录，通常是 /var/www/html
2. 创建 index.html
3. 将代码放在上面并保存