car*_*pii 18 mysql ssl ssl-certificate mysql5 mysql5.5
创建自签名 SSL 证书后,我已将远程 MySQL 服务器配置为使用它们(并启用了 SSL)
我通过 ssh 进入我的远程服务器,并尝试使用 SSL 连接到它自己的 mysqld(MySQL 服务器是 5.5.25)。
mysql -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key --ssl-ca=ca.cert
Enter password:
ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1)
好的,我记得读过通过 SSL 连接到同一台服务器时出现的一些问题。所以我将客户端密钥下载到我的本地盒子,并从那里测试......
mysql -h <server> -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key --ssl-ca=ca.cert
Enter password:
ERROR 2026 (HY000): SSL connection error
不清楚这个“SSL 连接错误”错误指的是什么,但是如果我省略了-ssl-ca,那么我就可以使用 SSL 进行连接。
mysql -h <server> -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key
Enter password:
Welcome to the MySQL monitor. Commands end with ; or \g.
Your MySQL connection id is 37
Server version: 5.5.25 MySQL Community Server (GPL)
但是,我相信这只是加密连接,并没有真正验证证书的有效性(这意味着我可能容易受到中间人攻击)
SSL 证书是有效的(尽管是自签名的),并且上面没有密码。所以我的问题是,我做错了什么?如何使用自签名证书通过 SSL 进行连接?
MySQL 服务器版本为 5.5.25,服务器和客户端为 CentOS 5。
感谢您的任何建议
编辑:请注意,在所有情况下,该命令都是从 ssl 密钥所在的同一目录发出的(因此没有绝对路径)
编辑(响应 mgorven):
ca.cert是证书颁发机构证书,它应该告诉 mysql 我的证书颁发机构是可信的。
从配置my.cnfIS
[mysqld]
ssl-ca=/etc/ssl/mysql/ca.cert
ssl-cert=/etc/ssl/mysql/server.cert
ssl-key=/etc/ssl/mysql/server.key
我也尝试添加ssl-cipher=DHE-RSA-AES256-SHA但后来删除了它,因为它没有帮助。
Kei*_*dis 14
是的,如果您不指定,--ssl-ca那么客户端根本不会检查服务器证书,这是正确的。由于它在没有该选项的情况下工作,失败的最可能原因是客户端不信任服务器证书。
如果您使用自签名客户端和服务器证书,则该ca.cert文件应包含这两个文件。这样,客户端将信任服务器证书,服务器将信任客户端证书。
例如:
生成服务器密钥和证书:
$ openssl req -x509 -newkey rsa:1024 \
-keyout server-key-enc.pem -out server-cert.pem \
-subj '/DC=com/DC=example/CN=server' -passout pass:qwerty
$ openssl rsa -in server-key-enc.pem -out server-key.pem \
-passin pass:qwerty -passout pass:
生成客户端密钥和证书:
$ openssl req -x509 -newkey rsa:1024 \
-keyout client-key-enc.pem -out client-cert.pem \
-subj '/DC=com/DC=example/CN=client' -passout pass:qwerty
$ openssl rsa -in client-key-enc.pem -out client-key.pem \
-passin pass:qwerty -passout pass:
将客户端和服务器证书合并到 CA 证书文件中:
$ cat server-cert.pem client-cert.pem > ca.pem
要使用单向 ssl,您应该尝试:
mysql -u <user> -p --ssl=1 --ssl-ca=ca.cert --ssl-verify-server-cert
--ssl-certmysql 客户端上的 和用于--ssl-key2 路 SSL。这意味着基于证书的身份验证。客户端证书的主题应该是用户名。
| 归档时间: |
|
| 查看次数: |
39555 次 |
| 最近记录: |