perl - SSL 连接适用于 mysql 客户端,但不适用于 perl DBI:MariaDB
问题描述
我有一个 MariaDB 服务器,它设置了自签名证书以使用 TLS 进行连接。当我与相应的客户端连接时,这有效
$ mysql -u xxxx -h xx.xx.xx.xx -p
\s shows:
mysql Ver 15.1 Distrib 10.1.37-MariaDB, for debian-linux-gnu (x86_64)
SSL: Cipher in use is DHE-RSA-AES256-SHA
.my.cnf 包含:
$ cat ~/.my.cnf
[client]
ssl-cert=/---path-deleted---/client-cert.pem
ssl-key=/---path-deleted---/client-key.pem
问题:我无法使用这些设置从 Perl 脚本进行连接。没有 SSL,脚本可以工作。只要我在脚本中启用 SSL(并在服务器上强制执行),我就会得到:
failed: SSL connection error: ASN: bad other signature confirmation
当我使用 openssl 检查证书时,我得到
$ openssl verify ca-cert.pem client-cert.pem server-cert.pem
error 18 at 0 depth lookup: self signed certificate
证书确实是自签名的,我想保持这种状态。
如果我使用“mariadb_ssl_verify_server_cert=0”,我会得到
failed: SSL connection error: Enforcing SSL encryption is not supported without mariadb_ssl_verify_server_cert=1
我需要更改什么才能让 TLS 连接从 Perl 工作?
我复制了我的连接子中的代码行以供参考。一个非常相似的代码用于使用 mysql(不是 mariadb)在旧系统上工作,只使用 mysql_ssl=1 IIRC:
$self->{dsn} = "DBI:MariaDB:database=$database;host=$db_host;mariadb_ssl=1;".
"mariadb_ssl_verify_server_cert=1;".
"mariadb_ssl_ca_file=/---path---/ca-key.pem;".
"mariadb_ssl_client_key=/---path---/client-key.pem;".
"mariadb_ssl_client_cert=/---path---/client-cert.pem";
$self->{dbh} = DBI->connect($self->{dsn}, $db_user, $db_passwd,
{'RaiseError' => 1, 'PrintError' => 1, AutoCommit => 1});
解决方案
我有一个类似的问题,虽然使用 DBI:mysql。问题是我在连接字符串中指定了 IP 地址,而不是在 SSL 证书 CN 中指定的服务器名称。mysql 命令行客户端不介意,但 DBI:mysql 可以。
为了获得证书的 CN,我按照https://serverfault.com/a/931652/243186使用了 openssl
然后我需要在我的 /etc/hosts 文件中添加一个条目,以使 CN 与我正在连接的接口的 IP 匹配。
另一种解决方案是让 MySQL 服务器所有者生成一个 SSL SAN 证书,指定它可以连接到的所有可能的服务器名称和 IP。
推荐阅读
- python - 使用字符串作为索引的 Python ndarray 的构造
- c# - 新程序员来了。我如何利用构造来创建类的实例(如果这就是它的名称)?请看我的例子
- django - 序列化作为 AbstractUser 的外键对象
- php - 如何在其中使用多种方法创建一条路线?
- c# - 如何找到我当前点的纬度和经度周围的区域
- php - 仅在经过 1 小时后如何更新 SQL 数据
- sql - 如何将列合二为一,并过滤掉 NULL?
- html - 如何使用 CSS 修复列的高度和宽度
- javascript - 向自定义表单控件验证器发送 FormArray
- php - Foreach mysql 选择结果