#mariadb #openssh
#mariadb #openssh
Вопрос:
У меня есть приложение, которое уже некоторое время работает на MariaDB 10.1.41. Недавно база данных разработчиков была обновлена до 10.2.33, и теперь она не позволит нам использовать самозаверяющие сертификаты для SSH. Нам нужна межсерверная связь для репликации, и до сих пор эти сертификаты были в порядке. Я пытался выяснить, что в этом обновлении могло вызвать это, но все, что я смог найти до сих пор, говорит о том, что самозаверяющие сертификаты, вероятно, вообще не должны были работать. У нас были некоторые другие проблемы после обновления — в основном вызванные включением строгого режима по умолчанию — они были решены, но я не смог найти ничего, что указывало бы, почему наши сертификаты больше не работают.
Комментарии:
1. Вы имеете в виду SSL / TLS, а не SSH (защищенная оболочка) Я полагаю?
2. Да, моя ошибка.
3. Самозаверяющие сертификаты должны быть в порядке, но если включена функция ssl-verify-server-cert o проверка сертификата на стороне клиента завершается неудачей, если имя хоста в сертификате не соответствует фактическому имени хоста сервера. Однако эта проверка по умолчанию не включена, по крайней мере, не в клиенте командной строки «mysql» см. Также mariadb.com/kb/en/secure-connections-overview/… Может быть, это реальная проблема, с которой вы столкнулись? Не зная фактической конфигурации, сообщения об ошибке и того, как именно были сгенерированы сертификаты, трудно сказать, что не так
4. Когда мы добавляем строки конфигурации ssl в раздел [client] my.cnf, в командной строке я вижу сообщение об ошибке: ОШИБКА 2026 (HY000): ошибка подключения SSL: самозаверяющий сертификат Если я запускаю openssl verify -CAfile для сертификатов, он сообщает: ошибка 18 в 0поиск по глубине: самозаверяющий сертификат, но это те же сертификаты, которые мы использовали до обновления MariaDB.