Мне действительно нужны клиентские сертификаты, которые будут подписаны доверяемым CA?
если Вы не используете, вставляют отложенный, вставляет/обновляет/удаляет, сразу фиксируются. Файл ключей не мог записать себя полностью. Если у Вас есть карта кэширующий контроллера, она, возможно, кэшировала его и сказала ОС, что она фиксировала его. Вы выполнили таблицу таблицы/восстановления проверки против него? Если так, Вы могли бы найти, что просто индекс поврежден и что большинство записей все еще там.
MyISAM быстр, но, испытывает недостаток в довольно многих мерах предосторожности, которые должны быть приняты, если проблема электропитания / катастрофический отказ сервера происходит. InnoDB является другим методом, который немного более безопасен, но, медленнее в зависимости от типов запросов, которые Вы делаете. Это добавляет, что блокировка уровня строки, а не блокировка таблицы, но, выбирает количество (*), требует сканирования строк, тогда как MyISAM может ответить на это от индекса.
Вы могли настроить репликацию для отправки данных в зеркало, но, если это находится в том же дата-центре, Вы сталкиваетесь с той же возможностью его имеющий поврежденные данные.
Когда вы используете аутентификацию по сертификату клиента, ближе к концу рукопожатия клиент отправляет TLS-сообщение Certificate Verify , в котором подписывает своим закрытым ключом конкатенация всех сообщений TLS, которыми обменивались клиент и сервер: что-то широко известное обоим.
Это не зависит от того, является ли сертификат клиента надежным или нет. Сервер все еще проверяет подпись по общему ключу, представленному в сертификате клиента. Если это не удастся, рукопожатие завершится неудачно.
В конце рукопожатия, независимо от того, доверяет ли сервер тому, что утверждает сертификат, то есть связи между открытым ключом, идентификатором и различными другими атрибутами, он будет знать, по крайней мере, что у клиента есть закрытый ключ для открытого ключа в этом сертификате (остальное может или не может быть правдой).
Если у вас есть предварительно определенный список известных открытых ключей (сродни открытым ключам вы бы настроили SSH-соединение, например), вы можете выполнить аутентификацию таким образом. Что вам не хватает, так это PKI: вся инфраструктура, которая поможет вам управлять ключами и тем, кому они принадлежат. Поскольку большинство параметров конфигурации предназначены для использования в PKI, это также может потребовать дополнительной работы (включая, возможно, дополнительное программирование).
Все другие свойства TLS-соединения остаются неизменными: шифрование по-прежнему гарантируется таким же образом, как и оно будет в контексте PKI. Я не уверен, о чем говорит @WesleyDavid в своем ответе на эту тему. Во всяком случае, речь идет о сертификатах клиентов,
Предположим, у меня есть сайт, на котором я хочу, чтобы пользователи могли входить на него. клиентские сертификаты.
Для ясности, мы говорим о входе в систему с сертификатами и не говорим о каких-либо темах шифрования.
Насколько я понимаю, клиент представляет сайт публике половина пары ключей и доказательство того, что у них есть соответствующие частные половина. Это правильно?
Это верно для аутентификации по паре ключей.
Если да, то это не проверка того, что клиент представляет известную (авторизованный ранее) открытый ключ, достаточный, чтобы знать, что это известный пользователь, без сертификата, подписанного доверенным CA?
Достаточно знать, что клиент, пытающийся пройти аутентификацию, имеет закрытый ключ (и, возможно, пароль закрытого ключа, если он был защищен таким образом). Пока это просто для аутентификации, а не для шифрования, вам не нужно беспокоиться о центрах сертификации. Вам просто нужно собрать открытые ключи и соответствующим образом делегировать полномочия на основе этих ключей.
Конечно, и вы можете сделать это, заставив клиентов самостоятельно подписывать каждый сертификат и вручную доверять каждому из них как своему корневому ЦС, вместо того, чтобы подписывать их. доверенным ЦС вообще.
Но на самом деле в этом нет особого смысла - похоже, что у вас есть клиенты, которые имеют сертификаты, подписанные доверенным ЦС. Вы просто пытаетесь избежать этапа проверки доверительных отношений?
Не могли бы вы пояснить, чего вы пытаетесь достичь?
Конечно, вы можете это сделать, но теряете преимущества центра сертификации. Преимущество ЦС в том, что вам нужно знать только ЦС, вам не нужно заранее знать каждого клиента индивидуально. Если вы используете схему, в которой вы распознаете только ключ, вам необходимо индивидуально настроить каждый ключ на сервере. Если вы просто хотите знать, что это один и тот же пользователь, вы можете просто подтвердить, что это тот же открытый ключ.