Вопросы Теги

Самоподписанный сертификат с общедоступным и частным IP-адресом (Tomcat 7)

Я настраиваю сервер с общедоступным и частным IP-адресом. У него нет связанных доменных имен.

Использование самозаверяющего сертификата для доступа к указанному ниже URL-адресу работает правильно: 

    https://<PUBLIC IP>:8443

Однако, когда я пытаюсь получить доступ к этому серверу, используя его частный IP-адрес: 

    wget https://<PRIVATE IP>:8443

, я получаю следующую ошибку:

ОШИБКА: невозможно проверить сертификат, выданный '/ C =? / ST =? / L =? / O =? / OU =? / CN = Unknown': Обнаружен самозаверяющий сертификат. ОШИБКА: общее имя сертификата "Неизвестно" не соответствует запрошенному имени хоста "". Для небезопасного подключения используйте `--no-check-certificate '.

Есть ли способ указать в конфигурации, что должны приниматься как общедоступные, так и частные IP-адреса?

Я также попытался включить несколько соединителей на сервере. xml, содержащий атрибут адреса, но он не работает.

3
задан 3 November 2015 в 10:59
2 ответа

Я думаю, у вас есть два основных проблемы здесь. Во-первых, в то время как Windows (насколько мне известно) реализует центральный механизм хранения и проверки сертификатов, который приложения обычно вызывают (например) для проверки сертификата SSL, все приложения UNIX работают самостоятельно. Так что то, что работает один браузер, не означает, что другой браузер или wget будет работать - и что будет делать PHP-скрипт, остается полной загадкой и полностью зависит от рассматриваемой библиотеки.

Во-вторых, вы решили использовать SSL-сертификат, который включает IP-адрес вместо имени хоста, и у нас было проблем , когда это делалось раньше, вокруг этих частей.

] По моему собственному мнению, это не лучшее использование квалифицированного времени, чтобы продолжать попытки заставить эту стратегию работать. Вместо этого зарегистрируйте доменное имя - они почти ничего не стоят и обычно их легче набирать, чем IP-адреса - и настройте DNS с разделением горизонта, чтобы внутренние клиенты получали внутренний адрес, а внешние клиенты - внешний. Это устраняет и ваших проблем одним махом.

1
ответ дан 3 December 2019 в 07:26

Похоже, вы пытаетесь получить доступ к серверу как из Интернета (используя NAT), так и из внутренней LAN (напрямую), и это причина того, что вы используете два IP-адреса. В таком случае рассмотрите аналогичную ситуацию и выясните, как сделать ваш сервер доступным по общедоступному IP-адресу как из Интернета, так и из локальной сети:

Статический NAT Cisco не работает на стороне локальной сети

и, таким образом, избежать беспорядка с сертификатами. (Ищите решение со вторичным IP.)

0
ответ дан 3 December 2019 в 07:26

Теги

Похожие вопросы