SQLinfo.ru - Все о MySQL

Форум пользователей MySQL

Задавайте вопросы, мы ответим

Вы не зашли.

#1 25.11.2016 21:10:32

Дмитрий АЛП
Участник
Зарегистрирован: 25.11.2016
Сообщений: 5

CRL list

Всем привет!
Помогите разобраться с CRL.

Создал две разных пары сертификатов.
Одна пара лежит в папке newkey
Вторая в папке newkey2

Так же в конфигах mysql прописал все настройки. Вот что выводит:
| Variable_name       | Value                                 |
+---------------------+---------------------------------------+
| have_openssl        | YES                                   |
| have_ssl            | YES                                   |
| ssl_ca              | /etc/mysql/ssl/newkey/ca-cert.pem     |
| ssl_capath          |                                       |
| ssl_cert            | /etc/mysql/ssl/newkey/server-cert.pem |
| ssl_cipher          |                                       |
| ssl_crl             | /etc/mysql/ssl/crl.pem                |
| ssl_crlpath         |                                       |
| ssl_key             | /etc/mysql/ssl/newkey/server-key.pem  |
| version_ssl_library | OpenSSL 1.0.1t  3 May 2016            |
+---------------------+---------------------------------------+

создаю
openssl ca -gencrl -out crl.pem

Потом добавляю ненужные сертификаты из папки newkey2
openssl ca -revoke newkey2/server-cert.pem
openssl ca -revoke newkey2/client-cert.pem

после этого обновляю  CRL командой
openssl ca -gencrl

Пытаюсь на втором сервере подключить по сертификатам из папки newkey2 и у меня все происходит..

Помогите разобраться, что не так!?

Неактивен

 

#2 25.11.2016 21:11:48

Дмитрий АЛП
Участник
Зарегистрирован: 25.11.2016
Сообщений: 5

Re: CRL list

да, у этих сертификатов один файл cakey.pem
только serial у них разные

Неактивен

 

#3 26.11.2016 23:27:51

paulus
Администратор
MySQL Authorized Developer and DBA
Зарегистрирован: 22.01.2007
Сообщений: 6756

Re: CRL list

Посмотрите, точно ли есть серийники отозванных сертификатов в crl.pem. Что-нибудь такое:
openssl crl -in crl.pem -text | grep Serial

Если сертификаты есть, то убедитесь, что стоит ssl-mode=required.

Неактивен

 

#4 27.11.2016 10:08:19

Дмитрий АЛП
Участник
Зарегистрирован: 25.11.2016
Сообщений: 5

Re: CRL list

openssl crl -in crl.pem -text | grep Serial
выводит пустую строку

Отредактированно Дмитрий АЛП (29.11.2016 10:16:44)

Неактивен

 

#5 29.11.2016 10:36:59

Дмитрий АЛП
Участник
Зарегистрирован: 25.11.2016
Сообщений: 5

Re: CRL list

нужно было выполнить openssl ca -gencrl -out crl.pem и все заработает.

Отредактированно Дмитрий АЛП (29.11.2016 12:46:22)

Неактивен

 

#6 05.12.2016 20:39:01

Дмитрий АЛП
Участник
Зарегистрирован: 25.11.2016
Сообщений: 5

Re: CRL list

Возникла еще одна проблема.
После того, как я отзываю сертификат. То по этому сертификату я не могу подключиться локально, а дистанционного с другого сервера я свободно подключаюсь по этому сертификату. Где нужно выставить проверку, чтобы все дистанционно подключающиеся сервера проверялись на наличие доверенных сертификатом?

Неактивен

 

Board footer

Работает на PunBB
© Copyright 2002–2008 Rickard Andersson