多种不同的 MySQL 的 SSL 配置(5)

如果其中一个私有密钥（客户端，服务器或CA）损坏，有以下几种办法处理：
什么也不做，只要等到证书过期。这只适用于短暂的证书（如证书有效期是7天）。这样做容易让你受到攻击，你也可能会有其他缓解风险的方法。问题是，每7天就得重启MySQL，而且还需要一些自动分配证书的机制。
重新创建所有证书和密钥(包括 CA)。这只适用于CA、服务器和用户数量较少的情况。
用CRL（Certificate Revocation list证书吊销列表）。 这样做只在你的证书有正确序列号的情况下管用。此外，你要是有多个CA的话，就必须每个CA都捆绑CRL，并在c_rehash创建的符号连接的目录中指定 ssl-crl，指定ssl-crl路径(仅OpenSSL)。如果使用CRL，那MySQL 的版本要是5.6或更高，然后更新CRL，也更新所有客户端。
注意: 如果密钥泄露了，就必须重新创建私有密钥，仅用以前的CSR（证书签名请求）是不够的。

客户端配置注意事项