Вопросы Теги

Подключение наклона к mysql, использующему сам подписанный сертификат SSL

На этот вопрос невозможно ответить. Как $ip_array быть декодируемым? 24 не IP-адрес. Та часть адреса? Или это блокируется 24.x.x.x и 186.x.x.x и т.д.? Раз так это блокирует более чем 17% всего Интернета.

И что касается ovh, kimsufi, dedibox, digicube - это полностью вне контекста, таким образом, мы не можем ответить, почему они заблокированы, потому что мы не знаем то, что он блокирует. Имена хостов? Агенты пользователя? Домены?

Я соглашаюсь с комментарием Joe - этот сценарий не делает ничего полезного и просто дает Вам ложное чувство защищенности при блокировании 17% Интернета.

Хорошо для ярмарки это больше похоже на 15,5% becuase 10.x.x.x,5.x.x.x не используются в дикой природе и только части 172.x.x.x находится в Интернете. И если это так, почему не блок 169.254.x.x в то время как Вы в нем? Также немного грубо заблокироваться 172 и 192 также, потому что части этих диапазонов являются Интернетом-routable. Весь больше доказательства, что этот сценарий не стоит времени, он взял меня для ответа на этот вопрос

15
задан 1 March 2019 в 00:52
3 ответа

Да, вы правы, если вы не укажете - ssl-ca , то клиент вообще не будет проверять сертификат сервера. Поскольку он работает без этой опции, наиболее вероятной причиной сбоя является то, что клиент не доверяет сертификату сервера.

Если вы используете самозаверяющие сертификаты клиента и сервера, то ca.cert файл должен включать оба этих файла. Таким образом, клиент будет доверять сертификату сервера, а сервер будет доверять сертификату клиента.

Например:
Сгенерировать ключ сервера и сертификат: 

$ openssl req -x509 -newkey rsa:1024 \
         -keyout server-key-enc.pem -out server-cert.pem \
         -subj '/DC=com/DC=example/CN=server' -passout pass:qwerty

$ openssl rsa -in server-key-enc.pem -out server-key.pem \
         -passin pass:qwerty -passout pass:

Сгенерировать ключ клиента и сертификат: 

$ openssl req -x509 -newkey rsa:1024 \
         -keyout client-key-enc.pem -out client-cert.pem \
         -subj '/DC=com/DC=example/CN=client' -passout pass:qwerty

$ openssl rsa -in client-key-enc.pem -out client-key.pem \
         -passin pass:qwerty -passout pass:

Объединить клиента и сертификаты сервера в файл сертификатов CA: 

$ cat server-cert.pem client-cert.pem > ca.pem
12
ответ дан 2 December 2019 в 20:53

Возможно, вы ввели одно и то же общее имя для сертификатов сервера и клиента? Если да, замените одно из них, чтобы общие имена были другими.

0
ответ дан 2 December 2019 в 20:53

Чтобы использовать односторонний SSL, попробуйте: 

mysql -u <user> -p --ssl=1 --ssl-ca=ca.cert --ssl-verify-server-cert

- ssl-cert и - ssl-key на Клиент mysql используется для двустороннего SSL. Это означает аутентификацию на основе сертификатов. Темой клиентского сертификата должно быть имя пользователя.

3
ответ дан 2 December 2019 в 20:53

Теги

Похожие вопросы