Почему сертификат клиента и сервера для TLS?

Question

Какова цель сертификата клиента и сервера для настройки TLS в Mariadb / mysql?Я бы подумал, что достаточно просто сертификата сервера, точно так же, как веб-сервер, такой как Apache, работает с клиентом, которому нужно только доверять сертификату, который представляет сервер?

Answer 1

В TLS вы можете настроить взаимную аутентификацию, что означает, что Клиент будет проверять сертификат сервера, и и наоборот .Это означает, что Сервер также проверит сертификат клиента.Однако взаимная аутентификация не является обязательной, и во многих случаях только клиент проверяет сертификат сервера, который является односторонней аутентификацией.Все зависит от вашей компетенции и дизайна, как вы хотите, чтобы ваше приложение / настройка работали, и достаточно ли в вашем случае взаимной или односторонней аутентификации TLS.

Вот хорошая справочная ссылка: - http://www.ossmentor.com/2015/03/one-way-and-two-way-ssl-and-tls.html

Answer 2

Назначение клиентских сертификатов состоит в том, чтобы сервер мог проверять клиента так же, как клиент может проверять сервер.

СОЗДАТЬ ПОЛЬЗОВАТЕЛЯ с REQUIRE X509 и / или REQUIRE ISSUER применять это как требование аутентификации.

Если вам нужен механизм без TLS для аутентификации клиентов, то сертификат / ключ клиента не требуется.