主頁(yè) > 知識(shí)庫(kù) > MySQL 使用 SSL 連接配置詳解

MySQL 使用 SSL 連接配置詳解

熱門標(biāo)簽:南通電銷外呼系統(tǒng)哪家強(qiáng) 地圖簡(jiǎn)圖標(biāo)注 桂林云電銷機(jī)器人收費(fèi) 清遠(yuǎn)申請(qǐng)400電話 手機(jī)外呼系統(tǒng)違法嗎 東莞外呼企業(yè)管理系統(tǒng) 如何選擇優(yōu)質(zhì)的外呼系統(tǒng) 谷歌地圖標(biāo)注位置圖解 沈陽智能外呼系統(tǒng)供應(yīng)商

查看是否支持 SSL

首先在 MySQL 上執(zhí)行如下命令, 查詢是否 MySQL 支持 SSL:

mysql> SHOW VARIABLES LIKE 'have_ssl';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl   | YES  |
+---------------+-------+
1 row in set (0.02 sec)

當(dāng) have_ssl 為 YES 時(shí), 表示此時(shí) MySQL 服務(wù)已經(jīng)支持 SSL 了. 如果是 DESABLE, 則需要在啟動(dòng) MySQL 服務(wù)時(shí), 使能 SSL 功能.

使用 OpenSSL 創(chuàng)建 SSL 證書和私鑰

首先我們需要使用 openssl 來創(chuàng)建服務(wù)器端的證書和私鑰. 我使用的 openssl 版本為:

>>> /usr/local/Cellar/openssl/1.0.2j/bin/openssl version
OpenSSL 1.0.2j 26 Sep 2016

新建一個(gè) ~/temp/cert 目錄, 用于存放生成的證書和私鑰

mkdir ~/temp/cert
cd ~/temp/cert

創(chuàng)建 CA 私鑰和 CA 證書

然后, 我們先來生成一個(gè) CA 私鑰:

openssl genrsa 2048 > ca-key.pem

當(dāng)有了一個(gè) CA 私鑰, 我們接下來就可以使用這個(gè)私鑰生成一個(gè)新的數(shù)字證書:

openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

執(zhí)行這個(gè)命令時(shí), 會(huì)需要填寫一些問題, 隨便填寫就可以了. 例如:

>>> openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xys
Organizational Unit Name (eg, section) []:xys
Common Name (e.g. server FQDN or YOUR name) []:xys
Email Address []:yongshun1228@gmail.com

執(zhí)行上述命令后, 我們就有了一個(gè) CA 私鑰和一個(gè) CA 證書.

創(chuàng)建服務(wù)器端的 RSA 私鑰和數(shù)字證書

接著, 我們需要?jiǎng)?chuàng)建服務(wù)器端的私鑰和一個(gè)證書請(qǐng)求文件, 命令如下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

上面這個(gè)命令會(huì)生成一個(gè)新的私鑰(server-key.pem), 同時(shí)會(huì)使用這個(gè)新私鑰來生成一個(gè)證書請(qǐng)求文件(server-req.pem).
上面這個(gè)命令同樣需要回答幾個(gè)問題, 隨便填寫即可. 不過需要注意的是, A challenge password 這一項(xiàng)需要為空.
即:

>>> openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

Generating a 2048 bit RSA private key
.................+++
..+++
writing new private key to 'server-key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xys
Organizational Unit Name (eg, section) []:xys
Common Name (e.g. server FQDN or YOUR name) []:xys
Email Address []:yongshun1228@gmail.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

下一步, 我們需要將生成的私鑰轉(zhuǎn)換為 RSA 私鑰文件格式:

openssl rsa -in server-key.pem -out server-key.pem

最后一步, 我們需要使用原先生成的 CA 證書來生成一個(gè)服務(wù)器端的數(shù)字證書:

openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

上面的命令會(huì)創(chuàng)建以服務(wù)器端的數(shù)字證書文件.

創(chuàng)建客戶端的 RSA 私鑰和數(shù)字證書

和服務(wù)器端所執(zhí)行的命令類似, 我們也需要為客戶端生成一個(gè)私鑰和證書請(qǐng)求文件, 命令如下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem

同樣地, 我們需要將生成的私鑰轉(zhuǎn)換為 RSA 私鑰文件格式:

openssl rsa -in client-key.pem -out client-key.pem

最后, 我們也需要為客戶端創(chuàng)建一個(gè)數(shù)字證書:

openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem

使用工具創(chuàng)建證書與私鑰

前面我們介紹了如何使用 OpenSSL 來創(chuàng)建 SSL 連接的私鑰和證書文件, 現(xiàn)在我們來看一個(gè)更簡(jiǎn)單的方法.
在 MySQL 5.7 中, 提供了一個(gè)名為 mysql_ssl_rsa_setup 的工具, 通過它, 我們可以很方便地創(chuàng)建 SSL 連接所需要的各種文件:

mkdir ~/temp/cert
cd ~/temp/cert
mysql_ssl_rsa_setup --datadir ./

上面的命令中, --datadir 表示生成的文件的目錄.

當(dāng)執(zhí)行了上述命令后, 也會(huì)生成八個(gè)文件:

ca-key.pem
ca.pem
client-cert.pem
client-key.pem
private_key.pem
public_key.pem
server-cert.pem
server-key.pem

這些文件和我們使用 OpenSSL 所創(chuàng)建的那八個(gè)文件的作用是一樣的, 這里就不再詳述了.

SSL 配置

在前面的步驟中, 我們已經(jīng)生成了8個(gè)文件, 分別是:

ca-cert.pem: CA 證書, 用于生成服務(wù)器端/客戶端的數(shù)字證書.
ca-key.pem: CA 私鑰, 用于生成服務(wù)器端/客戶端的數(shù)字證書.
server-key.pem: 服務(wù)器端的 RSA 私鑰
server-req.pem: 服務(wù)器端的證書請(qǐng)求文件, 用于生成服務(wù)器端的數(shù)字證書.
server-cert.pem: 服務(wù)器端的數(shù)字證書.
client-key.pem: 客戶端的 RSA 私鑰
client-req.pem: 客戶端的證書請(qǐng)求文件, 用于生成客戶端的數(shù)字證書.
client-cert.pem: 客戶端的數(shù)字證書.

接下來我們就需要分別配置服務(wù)器端和客戶端.

服務(wù)器端配置

服務(wù)器端需要用到三個(gè)文件, 分別是: CA 證書, 服務(wù)器端的 RSA 私鑰, 服務(wù)器端的數(shù)字證書, 我們需要在 [mysqld] 配置域下添加如下內(nèi)容:

[mysqld]
ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem

接著我們還可以更改 bind-address, 使 MySQL 服務(wù)可以接收來自所有 ip 地址的客戶端, 即:

bind-address = *

當(dāng)配置好后, 我們需要重啟 MySQL 服務(wù), 使能配置.

最后一步, 我們添加一個(gè)需要使用 SSL 才可以登錄的帳號(hào), 來驗(yàn)證一下我們所配置的 SSL 是否生效:

復(fù)制代碼 代碼如下:
GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;
FLUSH PRIVILEGES;

當(dāng)配置好后, 使用 root 登錄 MySQL, 執(zhí)行 show variables like '%ssl%' 語句會(huì)有如下輸出:

mysql> show variables like '%ssl%';
+---------------+-----------------+
| Variable_name | Value      |
+---------------+-----------------+
| have_openssl | YES       |
| have_ssl   | YES       |
| ssl_ca    | ca.pem     |
| ssl_capath  |         |
| ssl_cert   | server-cert.pem |
| ssl_cipher  |         |
| ssl_crl    |         |
| ssl_crlpath  |         |
| ssl_key    | server-key.pem |
+---------------+-----------------+
9 rows in set (0.01 sec)

客戶端配置

客戶端配置相對(duì)簡(jiǎn)單一些. 首先我們需要拷貝 ca-cert.pem, client-cert.pem 和 client-key.pem 這三個(gè)文件到客戶端主機(jī)中, 然后我們可以執(zhí)行如下命令來使用 SSL 連接 MySQL 服務(wù):

mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -h host_name -u ssl_test -p
除了上述的使用命令行方式配置 SSL 外, 我們也可以使用配置文件的方式. 即在 ~/.my.cnf 文件中添加如下內(nèi)容即可:

[client]
ssl-ca=/path/to/ca-cert.pem
ssl-cert=/path/to/client-cert.pem
ssl-key=/path/to/client-key.pem

當(dāng)連接成功后, 我們執(zhí)行如下指令

mysql> \s
--------------
mysql Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using EditLine wrapper

Connection id:    14
Current database:
Current user:    ssl_test@172.17.0.4
SSL:      Cipher in use is DHE-RSA-AES256-SHA
Current pager:    stdout
Using outfile:    ''
Using delimiter:  ;
Server version:    5.7.17 MySQL Community Server (GPL)
Protocol version:  10
Connection:    test_db via TCP/IP
Server characterset:  latin1
Db   characterset:  latin1
Client characterset:  latin1
Conn. characterset:  latin1
TCP port:    3306
Uptime:      1 hour 2 min 9 sec

Threads: 1 Questions: 23 Slow queries: 0 Opens: 126 Flush tables: 3 Open tables: 0 Queries per second avg: 0.006
--------------

如果輸出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 之類的信息, 則表示已經(jīng)使用 SSL 來連接了.

在 Docker 中使能 MySQL SSL 連接

上面我們簡(jiǎn)單介紹了一下如果使能 MySQL SSL 連接, 那么現(xiàn)在我們使用 Docker 來具體的實(shí)戰(zhàn)一把吧!

首先拉取最新的 MySQL 鏡像:

docker pull mysql

然后需要準(zhǔn)備一下掛載到 Docker 容器的目錄結(jié)構(gòu):

>>> cd ~/temp
>>> tree
.
├── cert
│  ├── ca-key.pem
│  ├── ca.pem
│  ├── client-cert.pem
│  ├── client-key.pem
│  ├── private_key.pem
│  ├── public_key.pem
│  ├── server-cert.pem
│  └── server-key.pem
├── config
│  └── my.cnf
└── db

3 directories, 9 files

在 temp 目錄下有三個(gè)子目錄:

cert 目錄用于存放我們先前生成的證書和私鑰信息;
config 目錄用于存放 MySQL 服務(wù)的配置文件
db 目錄是用于存放 MySQL 的數(shù)據(jù).

下一步我們需要使用如下命令啟動(dòng) MySQL 容器:

復(fù)制代碼 代碼如下:
docker run --rm --name test_db -p 10000:3306 -e MYSQL_ROOT_PASSWORD=root -v /Users/xiongyongshun/temp/db:/var/lib/mysql -v /Users/xiongyongshun/temp/config:/etc/mysql/conf.d -v /Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql:latest

我們?cè)谏厦娴拿钪? 我們分別掛載了 cert, config, db 這三個(gè)宿主機(jī)上的目錄到 MySQL 容器中.

啟動(dòng)了 MySQL 服務(wù)后, 可以先使用 root 帳號(hào)登錄 MySQL, 來檢查 MySQL 服務(wù)此時(shí)是否已經(jīng)開啟了 SSL 功能:

docker run -it --link test_db:test_db --rm mysql sh -c 'exec mysql -u root -p -h test_db'

登錄成功后, 我們?cè)?MySQL 中執(zhí)行如下指令:

mysql> show variables like '%ssl%';
+---------------+---------------------------------+
| Variable_name | Value              |
+---------------+---------------------------------+
| have_openssl | YES               |
| have_ssl   | YES               |
| ssl_ca    | /etc/mysql/cert/ca-cert.pem   |
| ssl_capath  |                 |
| ssl_cert   | /etc/mysql/cert/server-cert.pem |
| ssl_cipher  |                 |
| ssl_crl    |                 |
| ssl_crlpath  |                 |
| ssl_key    | /etc/mysql/cert/server-key.pem |
+---------------+---------------------------------+
9 rows in set (0.01 sec)

有上面的輸出后, 表明此時(shí) MySQL 服務(wù)已經(jīng)使用 SSL 功能了.

接著下一步, 我們按照前面所提到的, 創(chuàng)建一個(gè)僅僅可以使用 SSL 登錄的帳號(hào), 來檢驗(yàn)我們的配置是否有效:

復(fù)制代碼 代碼如下:
GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;
FLUSH PRIVILEGES;[code]

上面的命令創(chuàng)建了一個(gè)帳號(hào)名為 ssl_test, 密碼為 ssl_test, 并且不限制登錄主機(jī) ip 的帳號(hào).

這些都配置成功后, 我們?cè)賳?dòng)一個(gè) MySQL 客戶端容器:

[code]docker run -it --link test_db:test_db --rm -v /Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql sh -c 'exec mysql --ssl-ca=/etc/mysql/cert/ca-cert.pem --ssl-cert=/etc/mysql/cert/client-cert.pem --ssl-key=/etc/mysql/cert/client-key.pem -h test_db -u ssl_test -p'


從上面的這個(gè)命令中我們可以看到, 啟動(dòng) MySQL 客戶端容器時(shí), 我們掛載了宿主機(jī)的 cert 目錄到容器內(nèi)的 /etc/mysql/cert 目錄, 這樣在容器中就可以訪問到 SSL 私鑰和證書文件了. 接著我們?cè)?MySQL 客戶端命令行中, 使用 --ssl-ca, --ssl-cert, --ssl-key 這三個(gè)參數(shù)來指定 SSL 連接所需要的 CA 證書, RSA 私鑰和客戶端證書.

登錄成功后, 我們執(zhí)行 s 命令:

mysql> \s
--------------
mysql Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using EditLine wrapper

Connection id:    5
Current database:
Current user:    ssl_test@172.17.0.5
SSL:      Cipher in use is DHE-RSA-AES256-SHA
Current pager:    stdout
Using outfile:    ''
Using delimiter:  ;
Server version:    5.7.17 MySQL Community Server (GPL)
Protocol version:  10
Connection:    test_db via TCP/IP
Server characterset:  latin1
Db   characterset:  latin1
Client characterset:  latin1
Conn. characterset:  latin1
TCP port:    3306
Uptime:      6 min 8 sec

Threads: 2 Questions: 10 Slow queries: 0 Opens: 113 Flush tables: 1 Open tables: 106 Queries per second avg: 0.027
--------------

輸出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 信息則說明我們確實(shí)是使用了 SSL 連接的 MySQL 服務(wù)器.

您可能感興趣的文章:
  • linux系統(tǒng)中使用openssl實(shí)現(xiàn)mysql主從復(fù)制
  • 多種不同的 MySQL 的 SSL 配置
  • MySQL基于SSL協(xié)議進(jìn)行主從復(fù)制的詳細(xì)操作教程
  • 多種不同的 MySQL 的 SSL 配置
  • mysql通過ssl的方式生成秘鑰具體生成步驟
  • mysql show processlist 顯示mysql查詢進(jìn)程
  • 通過mysql show processlist 命令檢查mysql鎖的方法
  • processlist命令 查看mysql 線程
  • Apache、SSL、MySQL和PHP平滑無縫地安裝
  • apache+mysql+php+ssl服務(wù)器之完全安裝攻略

標(biāo)簽:常德 重慶 成都 天津 內(nèi)蒙古 臨沂 湖州 貴州

巨人網(wǎng)絡(luò)通訊聲明:本文標(biāo)題《MySQL 使用 SSL 連接配置詳解》,本文關(guān)鍵詞  MySQL,使用,SSL,連接,配置,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請(qǐng)?zhí)峁┫嚓P(guān)信息告之我們,我們將及時(shí)溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《MySQL 使用 SSL 連接配置詳解》相關(guān)的同類信息!
  • 本頁(yè)收集關(guān)于MySQL 使用 SSL 連接配置詳解的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章