SQLinfo.ru - Все о MySQL Webew.ru: теория и практика веб-технологий

Форум пользователей MySQL

Задавайте вопросы, мы ответим

Вы не зашли.

#1 03.04.2016 12:25:02

saifuddin
Завсегдатай
Зарегистрирован: 09.11.2015
Сообщений: 76

Вопросы по ssl сертификатам.

Доброго времени суток!

Стоит mariadb 10

На, данный момент использую следующие настройки для создания сертификатов.

openssl genrsa 1024 > ca-key.pem
openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca-cert.pem
openssl req -newkey rsa:1024 -days 3600 -nodes -keyout server-key.pem -out server-req.pem
openssl rsa -in server-key.pem -out server-key.pem
openssl x509 -req -in server-req.pem -days 3600 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
openssl req -newkey rsa:1024 -days 3600 -nodes -keyout client-key.pem -out client-req.pem
openssl rsa -in client-key.pem -out client-key.pem
openssl x509 -req -in client-req.pem -days 3600 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
openssl verify -CAfile ca-cert.pem server-cert.pem client-cert.pem


Есть несколько вопросов.

1. Как добавить еще один сертификат, клиент и сервер заверенный ca?
2. Если сертификат был украден, как можно его убрать из СА, чтобы по нему нельзя было снова подключить к БД?
3. Как можно поменять cipher? Сейчас используется
SHOW SESSION STATUS LIKE 'Ssl_cipher';
DHE-RSA-AES128-GCM-SHA256
4. Какой из cipher самый быстрый + стойкий к взлому, нужно найти золотую середину))
5. Правильно ли создаю я сертификаты? Или можно все это добро улучшить?

Неактивен

 

#2 03.04.2016 13:04:06

paulus
Администратор
MySQL Authorized Developer and DBA
Зарегистрирован: 22.01.2007
Сообщений: 6722

Re: Вопросы по ssl сертификатам.

1. Нижние 4 строки wink Только учтите, что серийники сертификатов должны быть таки разными.
2. Да, нужно держать список отозванных сертификатов: https://dev.mysql.com/doc/refman/5.6/en … al_ssl-crl Учтите, что его нужно держать в актуальном состоянии (регулярно пересоздавать, даже если ничего не поменялось).
3. https://dev.mysql.com/doc/refman/5.6/en … ssl-cipher OpenSSL выбирает по умолчанию наиболее стойкий шифр, который поддерживают и клиент, и сервер.
4. В моей сборке OpenSSL тот, что Вы написали, — считается наиболее стойким.
5. Посмотрите на https://www.openssl.org/docs/manmaster/apps/CA.pl.html Эта штука упрощает написание команд, заодно и серийники сертификатов будут разными.

Неактивен

 

#3 03.04.2016 18:56:10

saifuddin
Завсегдатай
Зарегистрирован: 09.11.2015
Сообщений: 76

Re: Вопросы по ssl сертификатам.

1. Вы про этот параметр(-set_serial 01) говорите? Его нужно будет увеличивать?
2. Как создается ssl_crl ?
3. Подскажите, параметр nodes означает не шифровать, значит генерируемый ключ у меня не шифруется!? Или я явно, что-то не до понимаю...
4. Подскажите, как меняются алгоритмы шифрования? И, если возможно список из чего выбирать.

Неактивен

 

#4 04.04.2016 00:07:31

paulus
Администратор
MySQL Authorized Developer and DBA
Зарегистрирован: 22.01.2007
Сообщений: 6722

Re: Вопросы по ssl сертификатам.

1. Да, но смотрите пункт 5 предыдущего ответа.
2. Смотрите пункт 5 предыдущего ответа.
3. Можно зашифровать ключ, а можно — нет. Как правило, если Вы не хотите вводить пароль шифрования каждый раз при старте демона, Вы не хотите его шифровать.
4. Смотрите пункт 3 предыдущего ответа. https://www.openssl.org/docs/manmaster/ … hers.html, второй пример в EXAMPLES Вам подойдет.

Неактивен

 

Board footer

Работает на PunBB
© Copyright 2002–2008 Rickard Andersson