Я пытаюсь установить ssl-соединение с MySQL Server. Я прочитал эту и многие другие статьи https://dev.mysql.com/doc/refman/5.7/en/using-secure-connections.html
Есть одна вещь, которую я до сих пор не знаю: нужно ли создавать сертификат клиента и ключ с тем же ключом CA, что и сертификаты сервера? У меня нет доступа к конфигурации сервера, поэтому я ничего не могу делать на стороне сервера.
Должен ли клиентский сертификат и ключ генерироваться с тем же CA-ключом, что и сертификаты сервера?
Нет, главное требование для сертификата клиента - это то, что сервер доверяет ЦС, подписавшему этот сертификат клиента. Теоретически вы даже можете доверять нескольким ЦС и использовать сертификаты клиентов из совершенно разных источников.
Какой CA подписал сертификат сервера MySQL, не имеет отношения к аутентификации клиента. (Конечно, это должен быть ЦС, которому доверяют клиент ...) Т.е. вы можете использовать сертификат сервера letsencrypt и собственный внутренний ЦС, чтобы подписывать сертификаты клиентов.
Вдобавок: обычно ЦС подписывает только открытый ключ / сертификат и делает это. не генерировать закрытые ключи. (Вы генерируете закрытый ключ и запрос на подпись сертификата (CSR) в системе, которая будет его использовать. При этом закрытый ключ никогда не покидает эту систему, и CSR отправляется в CA, который возвращает подписанный сертификат.)