Автор Тема: Mysql вопрос по SSL (Прочитано 615 раз)

Мариарти_2000 · « : 06 Декабря 2016, 11:07:14 »

Всем привет!

Стоит, такая задача.
Есть Mariadb 10.1, на которой установлены SSL сертификаты. Все работает нормально, но проблема в том, что, когда я отзываю сертификат, то по отозванному сертификату я могу подключиться к БД с другого сервера, а если попытаюсь подключиться с текущего, то меня не пустит к базе. И выдаст предупреждение, что сертификат отозван.

Как мне запретить подключение с других серверов к БД по отозванным сертификатам?

Как, создаются эти отозванные сертификаты?
openssl ca -gencrl -out crl.pem
openssl ca -revoke ./key/servercert.pem
openssl ca -gencrl && openssl ca -gencrl -out crl.pem
openssl crl -in crl.pem -text | grep Serial

в папке demoCA создается файл index.txt в котором находятся данные отозванных сертификатов. Так же, тут и другие файлы создаются:
-rw-r--r-- 1 root root 2,1K дек 5 19:25 cacert.pem
-rw-r--r-- 1 root root 3 дек 5 20:53 crlnumber
-rw-r--r-- 1 root root 3 дек 5 20:53 crlnumber.old
-rw-r--r-- 1 root root 310 дек 5 19:40 index.txt
-rw-r--r-- 1 root root 21 дек 5 19:40 index.txt.attr
-rw-r--r-- 1 root root 21 дек 5 19:40 index.txt.attr.old
-rw-r--r-- 1 root root 155 дек 5 19:40 index.txt.old
drwxr-xr-x 2 root root 4,0K дек 5 19:25 private

AnrDaemon · « **Ответ #1 :** 06 Декабря 2016, 17:43:31 »

А серверу сказали, где искать CRL? А он обновлён?

Мариарти_2000 · « **Ответ #2 :** 06 Декабря 2016, 18:15:50 »

Нет, не сказал.
Все настройки только в БД делал.

[mysqld]
ssl-ca=/root/ssl/demoCA/cacert.pem
ssl-cert=/root/ssl/key/servercert.pem
ssl-key=/root/ssl/key/serverkey.pem
ssl-crl=/root/ssl/crl.pem

[mysql]
ssl-ca=/root/ssl/demoCA/cacert.pem
ssl-cert=/root/ssl/key/servercert.pem
ssl-key=/root/ssl/key/serverkey.pem
ssl-crl=/root/ssl/crl.pem

crl обновлен.

Я после каждого внесения сертификата на отзыв вводил
openssl ca -gencrl -out crl.pem
openssl ca -revoke ./key/servercert.pem
openssl ca -gencrl && openssl ca -gencrl -out crl.pem

потом проверял
openssl crl -in crl.pem -text | grep Serial

добавился ли новый номер или нет.

Пользователь добавил сообщение 07 Декабря 2016, 07:22:15:

Цитата: AnrDaemon от 06 Декабря 2016, 17:43:31

А серверу сказали, где искать CRL? А он обновлён?

Подскажите, что и где нужно было прописывать, чтобы сервер знал об CRL?

AnrDaemon · « **Ответ #3 :** 07 Декабря 2016, 17:31:04 »

Судя по настройкам, прописано всё верно.

Мариарти_2000 · « **Ответ #4 :** 07 Декабря 2016, 21:47:21 »

Вот и я не пойму, в чем проблема.

Форум русскоязычного сообщества Ubuntu

Автор Тема: Mysql вопрос по SSL (Прочитано 615 раз)

Мариарти_2000

Mysql вопрос по SSL

AnrDaemon

Re: Mysql вопрос по SSL

Мариарти_2000

Re: Mysql вопрос по SSL

AnrDaemon

Re: Mysql вопрос по SSL

Мариарти_2000

Re: Mysql вопрос по SSL