4. MySQL SSL CA-Zertifikat erneuern

MySQL SSL CA-Zertifikat erneuern

  • R

    Hallo,

    das Theme hat was mit der Datenbank zu tun, passt aber dennoch nicht ganz ... sry.

    CA ist ein selbssigniertes Zert und nicht von einer höheren Stelle "unterzeichnet".

    In der Serverkonfiguration wird diese Zeile geändert bzw. das Zertifikat
    gleichnamig ersetzt. Im *ODBC Treiber* steht aber noch das alte CA Zertifikat,
    optional das neue zusätzlich im Pfad: "SSL CA PATH", als "SSL Certificate Authority"
    ist aber noch weiterhin das alte Zertifikat eingestellt.
    my.ini
    ------
    ssl-ca = C:/mysql/ssl/ca/ca-cert.pem ( neu )

    ODBC-Treiber
    -------------
    SSL CA PATH, beinhaltet ca-cert-2009.pem (neu) und ca-cert.pem ( alt )
    C:/mysql/ssl/ca/

    SSL Certificate Authority :
    C:/mysql/ssl/ca/ca-cert.pem ( alt )

    Leider ist es nicht möglich alle Clients auf einen Schlag mit neuen
    Zertifikaten auszustatten. Wie könnte nun eine mögliche Lösung sein
    um das Scenario zu meistern ?

    Ich vermute, der Client hat durch die Angabe "SSL CA PATH" weniger das
    Problem, da hier mehrer CAs verwaltet werden. Andereseits wird auch im
    Server ( my.ini ) angegeben:
    [client]
    ssl-ca = C:/mysql/ssl/ca/ca-cert.pem
    ssl-cert = C:/mysql/ssl/client/client-cert.pem
    ssl-key = C:/mysql/ssl/client/client-key.pem
    [mysqld]
    ssl-ca = C:/mysql/ssl/ca/ca-cert.pem
    ssl-cert = C:/mysql/ssl/server/server-cert.pem
    ssl-key = C:/mysql/ssl/server/server-key.pem

    wobei ich jetzt nicht 100% weiß warum der Server die Angaben für den Client
    kennen muss. Ich habe die Einstellung damals so aus einem Tut gezogen und war
    froh das alles funktioniert hat.

    Nach testweiser Erneuerung des CA-Cert liefert der ODBC Treiber "SSL Connection error".
    Ich weiß nur leider nicht auf welcher Seite der Fehler entsteht, am Client oder am Server.

    Wäre nett wenn jemand schon mal so eine Umstellung erfolgreich durchgeführt
    hat und mir ein paar Ratschläge geben könnte. Vielen Dank im Voraus.

    Grüße, RB

    [EDIT]
    könnte es sein, es läuft auf eine Erneuerung der CA *ohne* Änderung des public
    key heraus ? Denn wäre die Frage nur, wie macht man das mit openssl 😉 private key ist vorhanden !

    [EDIT] vll. sowas ...
    http://www.imc.org/ietf-pkix/old-archive-04/msg01575.html
    hm 😉

    0
Anmelden zum Antworten