80

2つの異なる物理的なオフィスの場所に2つの異なるLDAPプロバイダーがあります。

ラップトップを1つの場所に接続し、「ポートから取得」(Websphere 6.1の場合)してLDAPプロバイダーのssl証明書をインポートすると、問題なくそれぞれのLDAPに対して認証できます。ラップトップを他のオフィス(デフォルトで他のLDAPプロバイダーを使用)に持っていき、ラップトップをプラグインすると、「信頼できるssl証明書が見つかりません」と表示されるため、ラップトップのWASが起動しません。

'ポートから取得'を再度実行し、証明書を再インポートすると、再び機能します。

私のWASは常に一方のLDAPに接続しようとしますが、もう一方のLDAPには使用できないことに注意してください。

他のオフィスに戻ると、その場所から再インポートするまで同じエラーが発生します。LDAP接続ポイントはldap.something.com:636であり、同じFQDNを使用して両方の場所でpingを実行できます。

ただし、pingを実行すると、オフィスの場所ごとに異なるIPアドレスに解決されます。なぜ私はその振る舞いを見るのですか?

SSL証明書はどういうわけか特定のIPアドレスにバインドされていますか?

はいの場合、オフィスの場所ごとに異なる証明書のセットを維持する必要がありますよね?

ホスト名を同じIPアドレスに解決するようにDNSサーバーを調整する方法がないことに注意してください。

誰かが洞察を提供できますか?

4

3 に答える 3

72

SSL証明書は、「共通名」にバインドされます。これは通常、完全修飾ドメイン名ですが、ワイルドカード名(* .domain.comなど)またはIPアドレスにすることもできますが、通常はそうではありません。

あなたの場合、ホスト名でLDAPサーバーにアクセスしており、2つのLDAPサーバーに異なるSSL証明書がインストールされているようです。SSL証明書の詳細を表示(またはダウンロードして表示)できますか?各SSL証明書には、一致する必要のある一意のシリアル番号とフィンガープリントがあります。これらの詳細が証明書ストアの内容と一致しないため、証明書が拒否されていると思います。

解決策は、両方のLDAPサーバーに同じSSL証明書がインストールされていることを確認することです。

ところで-通常、ローカルの「hosts」ファイルを編集することでワークステーションのDNSエントリを上書きできますが、これはお勧めしません。

于 2009-07-13T12:54:12.237 に答える
5

SSL証明書は、標準的な方法で設定されている場合、IPではなくホスト名にバインドされます。したがって、なぜそれが他のサイトではなく一方のサイトで機能するのか。

サーバーが同じホスト名を共有している場合でも、2つの異なる証明書がある可能性があります。したがって、WebSphereは、最初のサーバーとは異なるため、2番目のサーバーで証明書を認識できないため、証明書の信頼の問題が発生します。

于 2009-07-13T12:02:39.670 に答える
5

ほとんどのSSL証明書は、IPアドレスではなく、マシンのホスト名にバインドされています。

serverfault.comでこの質問をすると、より良い答えが得られる可能性があります

于 2009-07-08T01:58:12.063 に答える