Ich versuche, SSL-Verbindungen für MySQL zu aktivieren. SSL wird in MySQL als aktiviert angezeigt, kann jedoch aufgrund dieses Fehlers keine Verbindungen herstellen: FEHLER 2026 (HY000): SSL-Verbindungsfehler: ASN: Fehlerhafte andere Signaturbestätigung
Ich führe folgendes aus:
Ubuntu Version: 14.04.1 LTS (GNU/Linux 3.13.0-34-generic x86_64)
MySQL Version: 5.5.38-0ubuntu0.14.04.1
OpenSSL Version: OpenSSL 1.0.1f 6 Jan 2014
Ich habe diese Befehle verwendet, um meine Zertifikate zu generieren (alle in / etc / mysql generiert):
openssl genrsa -out ca-key.pem 2048
openssl req -new -x509 -nodes -days 3650 -key ca-key.pem -out ca-cert.pem -subj "/C=US/ST=NY/O=MyCompany/CN=ca"
openssl req -newkey rsa:2048 -nodes -days 3650 -keyout server-key.pem -out server-req.pem -subj "/C=US/ST=NY/O=MyCompany/CN=server"
openssl rsa -in server-key.pem -out server-key.pem
openssl x509 -req -in server-req.pem -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
openssl req -newkey rsa:2048 -nodes -days 3650 -keyout client-key.pem -out client-req.pem -subj "/C=US/ST=NY/O=MyCompany/CN=client"
openssl rsa -in client-key.pem -out client-key.pem
openssl x509 -req -in client-req.pem -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
Ich habe folgendes in my.cnf eingefügt:
[mysqld]
ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem
Wenn ich versuche, eine Verbindung unter Angabe der Client-Zertifikate herzustellen, wird die folgende Fehlermeldung angezeigt:
mysql -uroot -ppassword --ssl-ca=/etc/mysql/ca-cert.pem --ssl-cert=/etc/mysql/client-cert.pem --ssl-key=/etc/mysql/client-key.pem
ERROR 2026 (HY000): SSL connection error: ASN: bad other signature confirmation
Wenn ich mich ohne SSL verbinde, kann ich sehen, dass MySQL die Zertifikate korrekt geladen hat:
mysql -uroot -ppassword --ssl=false
mysql> SHOW VARIABLES LIKE '%ssl%';
+---------------+----------------------------+
| Variable_name | Value |
+---------------+----------------------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | /etc/mysql/ca-cert.pem |
| ssl_capath | |
| ssl_cert | /etc/mysql/server-cert.pem |
| ssl_cipher | |
| ssl_key | /etc/mysql/server-key.pem |
+---------------+----------------------------+
7 rows in set (0.00 sec)
Meine generierten Zertifikate bestehen die OpenSSL-Überprüfung und den Modul:
openssl verify -CAfile ca-cert.pem server-cert.pem client-cert.pem
server-cert.pem: OK
client-cert.pem: OK
Was vermisse ich? Ich habe den gleichen Prozess zuvor auf einem anderen Server verwendet und er hat funktioniert - die Ubuntu-Version war jedoch 12.04 LTS und die OpenSSL-Version war älter (erinnere mich nicht genau). Hat sich mit der neuesten OpenSSL etwas geändert?
Jede Hilfe wäre dankbar!