Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Mysql вопрос по SSL  (Прочитано 252 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Мариарти_2000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Mysql вопрос по SSL
« : 06 Декабрь 2016, 11:07:14 »
Всем привет!

Стоит, такая задача.
Есть Mariadb 10.1, на которой установлены SSL сертификаты. Все работает нормально, но проблема в том, что, когда я отзываю сертификат, то по отозванному сертификату я могу подключиться к БД с другого сервера, а если попытаюсь подключиться с текущего, то меня не пустит к базе. И выдаст предупреждение, что сертификат отозван.

Как мне запретить подключение с других серверов к БД по отозванным сертификатам?

Как, создаются эти отозванные сертификаты?
openssl ca -gencrl -out crl.pem
openssl ca -revoke ./key/servercert.pem
openssl ca -gencrl && openssl ca -gencrl -out crl.pem
openssl crl -in crl.pem -text | grep Serial

в папке demoCA создается файл index.txt в котором находятся данные отозванных сертификатов. Так же, тут и другие файлы создаются:
-rw-r--r-- 1 root root 2,1K дек  5 19:25 cacert.pem
-rw-r--r-- 1 root root    3 дек  5 20:53 crlnumber
-rw-r--r-- 1 root root    3 дек  5 20:53 crlnumber.old
-rw-r--r-- 1 root root  310 дек  5 19:40 index.txt
-rw-r--r-- 1 root root   21 дек  5 19:40 index.txt.attr
-rw-r--r-- 1 root root   21 дек  5 19:40 index.txt.attr.old
-rw-r--r-- 1 root root  155 дек  5 19:40 index.txt.old
drwxr-xr-x 2 root root 4,0K дек  5 19:25 private
« Последнее редактирование: 06 Декабрь 2016, 18:16:42 от Мариарти_2000 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: Mysql вопрос по SSL
« Ответ #1 : 06 Декабрь 2016, 17:43:31 »
А серверу сказали, где искать CRL? А он обновлён?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Мариарти_2000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Mysql вопрос по SSL
« Ответ #2 : 06 Декабрь 2016, 18:15:50 »
Нет, не сказал.
Все настройки только в БД делал.

[mysqld]
ssl-ca=/root/ssl/demoCA/cacert.pem
ssl-cert=/root/ssl/key/servercert.pem
ssl-key=/root/ssl/key/serverkey.pem
ssl-crl=/root/ssl/crl.pem

[mysql]
ssl-ca=/root/ssl/demoCA/cacert.pem
ssl-cert=/root/ssl/key/servercert.pem
ssl-key=/root/ssl/key/serverkey.pem
ssl-crl=/root/ssl/crl.pem


crl обновлен.

Я после каждого внесения сертификата на отзыв вводил
openssl ca -gencrl -out crl.pem
openssl ca -revoke ./key/servercert.pem
openssl ca -gencrl && openssl ca -gencrl -out crl.pem

потом проверял
openssl crl -in crl.pem -text | grep Serial

добавился ли новый номер или нет.

Пользователь добавил сообщение 07 Декабрь 2016, 07:22:15:
А серверу сказали, где искать CRL? А он обновлён?
Подскажите, что и где нужно было прописывать, чтобы сервер знал об CRL?
« Последнее редактирование: 07 Декабрь 2016, 07:22:15 от Мариарти_2000 »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 26086
    • Просмотр профиля
Re: Mysql вопрос по SSL
« Ответ #3 : 07 Декабрь 2016, 17:31:04 »
Судя по настройкам, прописано всё верно.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Мариарти_2000

  • Автор темы
  • Новичок
  • *
  • Сообщений: 6
    • Просмотр профиля
Re: Mysql вопрос по SSL
« Ответ #4 : 07 Декабрь 2016, 21:47:21 »
Вот и я не пойму, в чем проблема.

 

Страница сгенерирована за 0.055 секунд. Запросов: 25.