gpt4 book ai didi

mysql - 您如何监控复制和客户端证书的 MariaDB SSL 到期?

转载 作者:行者123 更新时间:2023-12-04 22:36:16 27 4
gpt4 key购买 nike

有许多工具可用于监控通过 HTTPS 提供的服务的 SSL 过期,例如我们使用 https://github.com/prometheus/blackbox_exporter当 SSL 证书在内部和外部服务的 <14 天内到期时接收警报。

我们将 Percona 的 XtraDB 集群(即 MariaDB)与 SSL 一起用于前端和复制流量。相关配置如下图:

$ less /etc/mysql/percona-xtradb-cluster.conf.d/mysqld.cnf
[mysqld]
pxc_encrypt_cluster_traffic=ON
ssl-ca=/etc/ssl/xtradb_server_ca.pem
ssl-cert=/etc/ssl/xtradb_server_cert.pem
ssl-key=/etc/ssl/xtradb_server_key.pem

[client]
ssl-ca=/etc/ssl/xtradb_server_ca.pem
ssl-cert=/etc/ssl/xtradb_server_cert.pem
ssl-key=/etc/ssl/xtradb_server_key.pem

我们还没有弄清楚: 您如何监控 mysqld.service 加载的证书的 SSL 过期时间? ?

我们使用 Ansible 部署新证书并执行 mysqld.service 的滚动重启在每台主机上,但是最好监控并确认这些证书正在正确更新。

有一个通用的解决方案吗?

最佳答案

目前没有可用于确定服务器证书有效期的服务器变量或 API 函数。

一个简单的解决方法是(假设未设置secure_file_priv):

$ mysql -e "SHOW VARIABLES LIKE 'ssl_cert'"
+---------------+----------------------------+
| Variable_name | Value |
+---------------+----------------------------+
| ssl_cert | /etc/mysql/server-cert.pem |
+---------------+----------------------------+
$ mysql -e "SELECT LOAD_FILE('/etc/mysql/server-cert.pem')\G" > server-cert.pem
$ openssl x509 -enddate -noout -in ./server-cert.pem
notAfter=Jan 22 10:11:10 2021 GMT

关于mysql - 您如何监控复制和客户端证书的 MariaDB SSL 到期?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60659774/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com