[英]Can I use openssl s_client to retrieve the CA certificate for MySQL?
我可以使用openssl s_client来检索 MySQL 的 CA 证书吗?
我可以使用以下命令访问远程数据库服务器
mysql -u theuser -h thehost --ssl --ssl-cipher=DHE-RSA-AES256-SHA -p thedatabase
现在我想使用 JDBC 连接到它。
我意识到我需要将公共证书插入我的 Java 密钥库。 但是,我不知道如何检索公共证书。 我意识到它位于/etc/mysql/ca.pem或类似位置的远程服务器上。 但是,我无权将该文件甚至ssh读入机器。
我试过了
openssl s_client -cipher DHE-RSA-AES256-SHA -connect thehost:3306
和一些变化。 我总是出错。 例如
CONNECTED(00000003)
30495:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:/BuildRoot/
Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-59/src/ssl/s23_clnt.c:618:
我可以使用openssl s_client检索MySQL的CA证书吗?
你可能做不到。
配置正确的服务器将发送服务器证书和构建到根CA的路径所需的所有中间证书。 您必须已经具有根CA证书。
例如:
$ openssl s_client -connect www.cryptopp.com:443 -tls1 -servername www.cryptopp.com
CONNECTED(00000003)
depth=2 C = GB, ST = Greater Manchester, L = Salford, O = COMODO CA Limited, CN = COMODO RSA Certification Authority
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
0 s:/OU=Domain Control Validated/OU=COMODO SSL Unified Communications
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
1 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Domain Validation Secure Server CA
i:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
2 s:/C=GB/ST=Greater Manchester/L=Salford/O=COMODO CA Limited/CN=COMODO RSA Certification Authority
i:/C=SE/O=AddTrust AB/OU=AddTrust External TTP Network/CN=AddTrust External CA Root
---
...
服务器发送了服务器的证书。 上面显示为0 s:/OU=Domain Control Validated/OU=COMODO SSL Unified Communications 。 S表示其主题,而I表示其发行者。
服务器在1和2发送了两个中间证书。 但是,我们需要在本地拥有证书2的颁发者才能构建验证路径。 证书2的颁发者的通用名称为 “ AddTrust External CA Root” 。
可以从Comodo的站点[Root]上下载“ AddTrust外部CA Root”。
如果服务器发送了根CA,那么一个坏人可能会篡改该链,而客户端则不会更明智。 他们可以交换自己的CA并使用邪恶链。
我们可以通过获取根CA,然后使用-CAfile来清除verify error:num=20:unable to get local issuer certificate :
$ openssl s_client -connect www.cryptopp.com:443 -tls1 -servername www.cryptopp.com \
-CAfile addtrustexternalcaroot.pem
这将导致Verify Ok (0) 。
是的,OpenSSL 版本 1.1.1(2018 年 9 月 11 日发布)现在支持从 MySQL 服务器获取服务器证书。
openssl s_client -starttls mysql -connect thehost:3306
资料来源: Paul Tobias 的回答
由于证书错误,无法为 fabric-ca 服务器设置 mysql 数据库
[英]Can't setup mysql database for fabric-ca server due to certificate error
如何使用smack客户端ejabberd从mysql数据库检索聊天历史记录
[英]How can i retrieve chat history from mysql db using smack client ejabberd
我可以安全地使用MySQL-5.1客户端库连接到MySQL-5.0服务器吗?
[英]Can I safely use MySQL-5.1 client libs to connect to MySQL-5.0 servers?
如何在我的 android 应用程序中使用全局变量从 mysql 检索用户的登录 ID?
[英]how can I retrieve user's login id from mysql using global variable in my android app?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.