Am Montag, 11. November 2024, 12:50:26 Mitteleuropäische Normalzeit schrieb Holger Bruenjes:
Hallo
Tumbleweed mariadb 11.5.2
Ich habe nun ein Problem wenn ich eine Verbindung zu einem Datenbank Server, ueber TCP, aufnehmen will auf dem eine etwas aeltere Version vom mariadb laeuft. Die Version laeuft auf dem Server mit SSL. Mit einer aelteren Client Version von mariadb 11.0.6 klappt die Verbindung und da sehe ich dann auch das SSL Aktiv ist: have_ssl YES
ca. ab der mariadb 11.4 bekomme ich nun
ERROR 2026 (HY000): TLS/SSL error: Certificate verification failure: The certificate is NOT trusted.
Wie habt ihr das Problem geloesst. --skip-ssl ist ja nun nicht eine besonders Gute Idee.
Danke
Holger
mariadb 11.4 setzt ssl-verify-server-cert auf true als Default. Clients können --disable- ssl-verify-server-cert benutzen, aber mariadb-admin client, benutzt von opensuses systemd-service, um die Datenbank zu starten, hat keine Default-Konfiguration. Folglich muss das Zertifkat ´hostname´ and localhost erlauben. Das ist möglich durch die Verwendung der SAN-Erweiterung anstelle von CN im Feld subject. Caveat: Das Feld Subject von CA und Zertifkaten muss unterschiedlich sein. Im Skript unten wird das ST-field (country) anstelle des empfohlenen CN-Felds benutzt. Links, die mir geholfen haben: https://mariadb.com/kb/en/certificate-creation-with-openssl/[1] http://gagravarr.org/writing/openssl-certs/others.shtml[2] https://www.howtoforge.com/tutorial/how-to-enable-ssl-and-remote-connections-for-mysql-on-centos-7/[3] https://www.squash.io/how-to-fix-openssl-error-self-signed-certificate-in-certificate-chain-on-linux/[4] https://security.stackexchange.com/questions/190905/subject-alternative-name-in-certificate-signing-request-apparently-does-not-surv[5] https://stackoverflow.com/questions/5935369/how-do-common-names-cn-and-subject-alternative-names-san-work-together[6] angehängtes Skript generiert self-signed-key und mysql-ssl client und server keys. Damit sollte Mariadb 11.4 starten und Connects erlauben. Vorhandene keys sollten gesichert werden. Benutzung ohne Gewähr auf eigenes Risiko. Zumindest Variable DNS_HOSTN anpassen. my.cnf muss natürlich auf die generierten keys zeigen. Grüße mab