|
Задавайте вопросы, мы ответим
Вы не зашли.
Всем привет!
Помогите разобраться с CRL.
Создал две разных пары сертификатов.
Одна пара лежит в папке newkey
Вторая в папке newkey2
Так же в конфигах mysql прописал все настройки. Вот что выводит:
| Variable_name | Value |
+---------------------+---------------------------------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | /etc/mysql/ssl/newkey/ca-cert.pem |
| ssl_capath | |
| ssl_cert | /etc/mysql/ssl/newkey/server-cert.pem |
| ssl_cipher | |
| ssl_crl | /etc/mysql/ssl/crl.pem |
| ssl_crlpath | |
| ssl_key | /etc/mysql/ssl/newkey/server-key.pem |
| version_ssl_library | OpenSSL 1.0.1t 3 May 2016 |
+---------------------+---------------------------------------+
создаю
openssl ca -gencrl -out crl.pem
Потом добавляю ненужные сертификаты из папки newkey2
openssl ca -revoke newkey2/server-cert.pem
openssl ca -revoke newkey2/client-cert.pem
после этого обновляю CRL командой
openssl ca -gencrl
Пытаюсь на втором сервере подключить по сертификатам из папки newkey2 и у меня все происходит..
Помогите разобраться, что не так!?
Неактивен
да, у этих сертификатов один файл cakey.pem
только serial у них разные
Неактивен
Посмотрите, точно ли есть серийники отозванных сертификатов в crl.pem. Что-нибудь такое:
openssl crl -in crl.pem -text | grep Serial
Если сертификаты есть, то убедитесь, что стоит ssl-mode=required.
Неактивен
openssl crl -in crl.pem -text | grep Serial
выводит пустую строку
Отредактированно Дмитрий АЛП (29.11.2016 10:16:44)
Неактивен
нужно было выполнить openssl ca -gencrl -out crl.pem и все заработает.
Отредактированно Дмитрий АЛП (29.11.2016 12:46:22)
Неактивен
Возникла еще одна проблема.
После того, как я отзываю сертификат. То по этому сертификату я не могу подключиться локально, а дистанционного с другого сервера я свободно подключаюсь по этому сертификату. Где нужно выставить проверку, чтобы все дистанционно подключающиеся сервера проверялись на наличие доверенных сертификатом?
Неактивен
