MySQL mit SSL, abgelaufenes Stammzertifikat

 
snoop
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 09 / 2019
Betreff:

MySQL mit SSL, abgelaufenes Stammzertifikat

 ·  Gepostet: 14.06.2020 - 23:24 Uhr  ·  #1
Hallo Zusammen,

ich wollte nach langer Zeit endlich einmal die MySQL-Verbindung mit SSL-Verschlüsselung aufsetzen. Leider bekomme ich bei der Verbindung einen Fehler:

Caused by: javax.net.ssl.SSLHandshakeException: Received fatal alert: unknown_ca
at sun.security.ssl.Alerts.getSSLException(Alerts.java:192)
at sun.security.ssl.Alerts.getSSLException(Alerts.java:154)
at sun.security.ssl.SSLSocketImpl.recvAlert(SSLSocketImpl.java:1991)
at sun.security.ssl.SSLSocketImpl.readRecord(SSLSocketImpl.java:1104)
at sun.security.ssl.SSLSocketImpl.performInitialHandshake(SSLSocketImpl.java:1343)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1371)
at sun.security.ssl.SSLSocketImpl.startHandshake(SSLSocketImpl.java:1355)
at com.mysql.jdbc.ExportControlled.transformSocketToSSLSocket(ExportControlled.java:149)
... 39 more

Mein Stammzertifikat im Jameica ist schon seit einem Jahr abgelaufen, ich denke es könnte daran liegen. Zugegeben, ich nutze Jameica schon ein paar Jährchen, wohl seit 2009 ;)

Vielen Dank im Voraus für Eure Hilfe!
hibiscus
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 11385
Dabei seit: 03 / 2005
Betreff:

Re: MySQL mit SSL, abgelaufenes Stammzertifikat

 ·  Gepostet: 15.06.2020 - 08:27 Uhr  ·  #2
Ich glaube nicht, dass es an dem abgelaufenen Zertifikat liegt sondern eher daran, dass der Client das Zertifikat nicht validieren kann - daher die Meldung "unknown_ca". Hast du die Schritte der - zugegebenermaßen schon recht alten - Anleitung unter https://www.willuhn.de/wiki/doku.php?id=support:mysql-ssl befolgt?

Unter https://dev.mysql.com/doc/conn…g-ssl.html findest du eine aktuelle Anleitung. Mit dem JDBC-Parameter "clientCertificateKeyStoreUrl" kann man auch komplett eigene Zertifikate verwenden und brauch dann nicht das von Jameica.
snoop
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8
Dabei seit: 09 / 2019
Betreff:

Re: MySQL mit SSL, abgelaufenes Stammzertifikat

 ·  Gepostet: 15.06.2020 - 20:06 Uhr  ·  #3
Ja, alles so befolgt wie beschrieben. Nach meinen Recherchen prüft MySQL wohl auch das Client-Zertifikat auf das Ablaufdatum.

Mit dem Parameter clientCertificateKeyStoreUrl komme ich ehrlich gesagt nicht wirklich weiter, an welcher Stelle binde ich diesen in die Konfiguration ein? Mit "database.driver.mysql.clientCertificateKeyStoreUrl=file://" hat es nicht funktioniert. Das Client-Zertifikat habe ich bereits als PKCS12 im jameica Nutzer-Ordner in einem Unterverzeichnis gespeichert (jameica/certs/client-keystore.p12). Kannst du mir noch einmal mit einem kleinen Tip weiterhelfen?
Gewählte Zitate für Mehrfachzitierung:   0