Impossibile connettersi a mysql utilizzando il certificato SSL autofirmato

Dopo aver creato un certificato SSL autofirmato, ho configurato il mio server MySQL remoto per usarli (e SSL è abilitato)

Ho inserito il mio server remoto e provo a collegarmi al suo mysqld usando SSL (il server MySQL è 5.5.25) ..

mysql -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key --ssl-ca=ca.cert
Enter password: 
ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1)

Ok, ricordo di aver letto un problema con la connessione allo stesso server tramite SSL. Quindi scarico le chiavi del client nella mia casella locale e provo da lì ...

mysql -h <server> -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key --ssl-ca=ca.cert 
Enter password: 
ERROR 2026 (HY000): SSL connection error

Non è chiaro a cosa si riferisca questo errore "Errore di connessione SSL", ma se ometto -ssl-ca, sono in grado di connettermi utilizzando SSL ..

mysql -h <server> -u <user> -p --ssl=1 --ssl-cert=client.cert --ssl-key=client.key 
Enter password: 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 37
Server version: 5.5.25 MySQL Community Server (GPL)

Tuttavia, credo che questo stia solo crittografando la connessione e non verificando effettivamente la validità del certificato (il che significa che sarei potenzialmente vulnerabile all'attacco man-in-middle)

I certificati SSL sono validi (sebbene autofirmati) e non hanno una passphrase su di essi. Quindi la mia domanda è: cosa sto facendo di sbagliato? Come posso connettermi tramite SSL, usando un certificato autofirmato?

La versione di MySQL Server è 5.5.25 e il server e i client sono CentOS 5.

Grazie per qualsiasi consiglio

Modifica : si noti che in tutti i casi, il comando viene emesso dalla stessa directory in cui risiedono le chiavi ssl (quindi nessun percorso assoluto)

Modifica (in risposta a mgorven): ca.certè il certificato dell'autorità di certificazione, che dovrebbe dire a mysql che la mia autorità di certificazione è attendibile.

La configurazione da my.cnfè

[mysqld]
ssl-ca=/etc/ssl/mysql/ca.cert
ssl-cert=/etc/ssl/mysql/server.cert
ssl-key=/etc/ssl/mysql/server.key

Ho anche provato ad aggiungere, ssl-cipher=DHE-RSA-AES256-SHAma da allora l'ho rimosso in quanto non ha aiutato.

Sì, hai ragione nel dire che se non lo specifichi, --ssl-cail client non controlla affatto il certificato del server. Poiché funziona senza tale opzione, il motivo più probabile dell'errore è che il client non si fida del certificato del server.

Se si utilizzano certificati client e server autofirmati, il ca.certfile deve includere entrambi questi file. In questo modo il client si fiderà del certificato del server e il server si fiderà del certificato del client.

Ad esempio:
generare la chiave del server e il certificato:

$ openssl req -x509 -newkey rsa:1024 \
         -keyout server-key-enc.pem -out server-cert.pem \
         -subj '/DC=com/DC=example/CN=server' -passout pass:qwerty

$ openssl rsa -in server-key-enc.pem -out server-key.pem \
         -passin pass:qwerty -passout pass:

Generare la chiave client e il certificato:

$ openssl req -x509 -newkey rsa:1024 \
         -keyout client-key-enc.pem -out client-cert.pem \
         -subj '/DC=com/DC=example/CN=client' -passout pass:qwerty

$ openssl rsa -in client-key-enc.pem -out client-key.pem \
         -passin pass:qwerty -passout pass:

Combina i certificati client e server nel file dei certificati CA:

$ cat server-cert.pem client-cert.pem > ca.pem

Per usare un modo ssl, dovresti provare con:

mysql -u <user> -p --ssl=1 --ssl-ca=ca.cert --ssl-verify-server-cert

Il client --ssl-certe --ssl-keysul client mysql sono utilizzati per SSL a 2 vie. Questo significa autenticazione basata su certificato. L'oggetto del certificato client dovrebbe essere il nome utente.

Per caso, non hai inserito lo stesso nome comune per i certificati server e client? In caso affermativo, sostituirne uno in modo che i nomi comuni siano diversi.