为什么MySQL复制使用五个证书？

Question

我正在尝试使用SSL加密来设置MySQL复制，虽然我已经开始接近解决方案，但是这个过程中有一个方面与MySQL使用SSL的方式有关。

根据SSL5.0 (setting up SSL for client/server和setting up SSL for replication)上的文档，documentation最多可以包含五条信息: CA证书、主服务器签名的公钥和私钥，以及从机的签名公钥和私钥。我不理解的是对这五个组件的需求。我对the Wikipedia entry的理解是，SSL通常只需要三部分: CA证书(由服务器和客户端共享)、服务器的公钥(发送给客户端，根据CA证书进行验证，并用于加密/解密与服务器的通信)和服务器的私钥(由服务器保存，用于加密/解密与客户端的通信)。

那么，为什么在MySQL replication SSL解决方案中，从机也有一个公钥/私钥对与主机的公钥/私钥对使用相同的CA证书进行签名呢？

Answer 1

实际上，这只是三个证书。但是，每个SSL证书都包含两个密钥--公钥和私钥。

服务器和客户端都可以使用对方的公钥已经由CA的私钥签名的事实来向对方证明他们就是他们所说的那个人。

CA本身也有一个公钥和一个私钥，但是在您从第三方获得SSL证书的情况下，您永远看不到他们的私钥。

Answer 2

这是用于相互验证的。slave需要向主机证明其身份，而master需要向slave证明其身份。

编辑:证书只包含公钥。(私钥存储在计算机的加密服务提供程序(CSP)中。)因此，它是5个密钥和3个证书。

Answer 3

复制链路的两端都必须认为另一端值得信任。