He intentado encontrar una respuesta a esto y no he encontrado nada.
Tengo un certificado de LetsEncrypt que utilizo para todas mis necesidades de SSL. Es válido para todos los nombres DNS que intento utilizar. Hoy intenté hacerlo funcionar para MySQL, pero MySQL insiste en usar su propio certificado autofirmado.
La versión de MySQL es 8.0.26-0ubuntu0.20.04.2 de los paquetes de Ubuntu.
He creado /etc/mysql/mysql.conf.d/zz-ssl.conf con estos contenidos:
[mysqld]
ssl-ca=/etc/ssl/certs/local/mainchain.pem
ssl-cert=/etc/mysql/cert.pem
ssl-key=/etc/mysql/cert.pem
[system_default_sect]
MinProtocol = TLSv1.2
Pero el registro dice esto:
2021-08-08T16:16:57.982003Z 0 [Warning] [MY-013746] [Server] A deprecated TLS version TLSv1 is enabled for channel mysql_main
2021-08-08T16:16:57.982227Z 0 [Warning] [MY-013746] [Server] A deprecated TLS version TLSv1.1 is enabled for channel mysql_main
2021-08-08T16:16:57.983344Z 0 [Warning] [MY-010068] [Server] CA certificate ca.pem is self signed.
Intenté eliminar /var/lib/mysql/*.pem... pero cuando reinicio mysql, todos esos archivos vuelven con marcas de tiempo actualizadas. MySQL parece decidido a utilizar su propio certificado autofirmado y no el que tengo configurado. Supongo que me falta algo que debería ser obvio pero no lo es.
El archivo /etc/mysql/cert.pem al que se hace referencia en mi configuración es propiedad de mysql:mysql y tiene permisos 0600. Es una copia del archivo de certificado que uso para todo lo demás, contiene el certificado del servidor, la clave privada y el certificado emisor de LetsEncrypt.
Respuesta1
Finalmente me di cuenta de esto. Los archivos de configuración deben tener una extensión de archivo .cnf o mysql los ignora. Y una vez que solucioné eso, tuve un problema de permisos: había dividido el archivo del certificado en tres archivos separados, pero los otros dos archivos eran propiedad de root:root. Una vez que solucioné eso, todo funcionó.