Проблема
У mariadb 10.6.10 в логе появились ошибки
[Warning] Failed to setup SSL
[Warning] SSL error: SSL_CTX_set_default_verify_paths failed
[Warning] SSL error: ASN date error, current date after
А версия 10.6.11 и вовсе отказалась запускаться
[ERROR] Failed to setup SSL
[ERROR] SSL error: SSL_CTX_set_default_verify_paths failed
[ERROR] Aborting
Решение
Проверим, что у нас с сертификатами
openssl verify -CAfile ca-cert.pem server-cert.pem client-cert.pem
…
error 10 at 1 depth lookup: certificate has expired
…
error 10 at 0 depth lookup: certificate has expired
error server-cert.pem: verification failed
…
error 10 at 1 depth lookup: certificate has expired
…
error 10 at 0 depth lookup: certificate has expired
error client-cert.pem: verification failed
Сертификаты протухли. Нужны новые. Несколько несложных команд и вопрос решен. Важно только, чтоб CommonName центра сертификации, сервера и клиента был разный, иначе при запуске mariadb выкинет ошибку. Сделаем сертификаты сразу на 100 лет, ну чтоб позже не возвращаться к этому вопросу 🙂
openssl genrsa 4096 > ca-key.pem
openssl req -new -x509 -nodes -days 36000 -key ca-key.pem -out ca-cert.pem
openssl req -newkey rsa:4096 -days 36000 -nodes -keyout server-key.pem -out server-req.pem
openssl rsa -in server-key.pem -out server-key.pem
openssl x509 -req -in server-req.pem -days 36000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
openssl req -newkey rsa:4096 -days 36000 -nodes -keyout client-key.pem -out client-req.pem
openssl rsa -in client-key.pem -out client-key.pem
openssl x509 -req -in сlient-req.pem -days 36000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
И еще раз проверяем
openssl verify -CAfile ca-cert.pem server-cert.pem client-cert.pem
server-cert.pem: OK
client-cert.pem: OK
Отлично, запускаем mariadb и смотрим, что в логах
- Системный администратор с 2000 года
- Участник Freelancehunt, Хабр Q&A, cyberforum
- Кейсы
