MySQL怎么使用SSL连接配置 MySQL使用SSL连接配置的方法

查看是否支持 SSL

首先在 MySQL 上执行如下命令, 查询是否 MySQL 支持 SSL:


mysql> SHOW VARIABLES LIKE 'have_ssl';

+---------------+-------+

| Variable_name | Value |

+---------------+-------+

| have_ssl | YES |

+---------------+-------+

1 row in set (0.02 sec)

当 have_ssl 为 YES 时, 表示此时 MySQL 服务已经支持 SSL 了. 如果是 DESABLE, 则需要在启动 MySQL 服务时, 使能 SSL 功能.

使用 OpenSSL 创建 SSL 证书和私钥

首先我们需要使用 openssl 来创建服务器端的证书和私钥. 我使用的 openssl 版本为:


>>> /usr/local/Cellar/openssl/1.0.2j/bin/openssl version

OpenSSL 1.0.2j 26 Sep 2016

新建一个 ~/temp/cert 目录, 用于存放生成的证书和私钥


mkdir ~/temp/cert

cd ~/temp/cert

创建 CA 私钥和 CA 证书

然后, 我们先来生成一个 CA 私钥:

openssl genrsa 2048 > ca-key.pem

当有了一个 CA 私钥, 我们接下来就可以使用这个私钥生成一个新的数字证书:

openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

执行这个命令时, 会需要填写一些问题, 随便填写就可以了. 例如:


>>> openssl req -sha1 -new -x509 -nodes -days 3650 -keyca-key.pem > ca-cert.pem

 You are abouttobe askedtoenter information that will be incorporated

intoyour certificate request.

What you are abouttoenteriswhatiscalled a DistinguishedNameora DN.

There are quite a few fields but you can leavesomeblank

Forsomefields there will be adefaultvalue,

If you enter'.', the field will beleftblank.

-----

CountryName(2 letter code) [AU]:CN

StateorProvinceName(fullname) [Some-State]:Beijing

LocalityName(eg, city) []:Beijing

OrganizationName(eg, company) [Internet Widgits Pty Ltd]:xys

Organizational UnitName(eg,section) []:xys

CommonName(e.g. server FQDNorYOURname) []:xys

Email Address []:yongshun1228@gmail.com

执行上述命令后, 我们就有了一个 CA 私钥和一个 CA 证书.

创建服务器端的 RSA 私钥和数字证书

接着, 我们需要创建服务器端的私钥和一个证书请求文件, 命令如下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

上面这个命令会生成一个新的私钥(server-key.pem), 同时会使用这个新私钥来生成一个证书请求文件(server-req.pem).

上面这个命令同样需要回答几个问题, 随便填写即可. 不过需要注意的是, A challenge password 这一项需要为空.

即:


>>> openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

Generating a 2048 bit RSA private key

.................+++

..+++

writing new private key to'server-key.pem'

-----

You are about to be asked to enter information that will be incorporated

into your certificate request.

What you are about to enter is what is called a Distinguished Name or a DN.

There are quite a few fields but you can leave some blank

For some fields there will be a default value,

If you enter'.', the field will be left blank.

-----

Country Name (2 letter code) [AU]:CN

State or Province Name (full name) [Some-State]:Beijing

Locality Name (eg, city) []:Beijing

Organization Name (eg, company) [Internet Widgits Pty Ltd]:xys

Organizational Unit Name (eg, section) []:xys

Common Name (e.g. server FQDN or YOUR name) []:xys

Email Address []:yongshun1228@gmail.com

Please enter the following'extra'attributes

to be sent with your certificate request

A challenge password []:

An optional company name []:

下一步, 我们需要将生成的私钥转换为 RSA 私钥文件格式:

openssl rsa -in server-key.pem -out server-key.pem

最后一步, 我们需要使用原先生成的 CA 证书来生成一个服务器端的数字证书:

openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

上面的命令会创建以服务器端的数字证书文件.

创建客户端的 RSA 私钥和数字证书

和服务器端所执行的命令类似, 我们也需要为客户端生成一个私钥和证书请求文件, 命令如下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem

同样地, 我们需要将生成的私钥转换为 RSA 私钥文件格式:

openssl rsa -in client-key.pem -out client-key.pem

最后, 我们也需要为客户端创建一个数字证书:

openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem

使用工具创建证书与私钥

前面我们介绍了如何使用 OpenSSL 来创建 SSL 连接的私钥和证书文件, 现在我们来看一个更简单的方法.

在 MySQL 5.7 中, 提供了一个名为 mysql_ssl_rsa_setup 的工具, 通过它, 我们可以很方便地创建 SSL 连接所需要的各种文件:


mkdir~/temp/cert

cd~/temp/cert

mysql_ssl_rsa_setup --datadir ./

上面的命令中, --datadir 表示生成的文件的目录.

当执行了上述命令后, 也会生成八个文件:


ca-key.pem

ca.pem

client-cert.pem

client-key.pem

private_key.pem

public_key.pem

server-cert.pem

server-key.pem

这些文件和我们使用 OpenSSL 所创建的那八个文件的作用是一样的, 这里就不再详述了。

SSL 配置

在前面的步骤中, 我们已经生成了8个文件, 分别是:

ca-cert.pem: CA 证书, 用于生成服务器端/客户端的数字证书.

ca-key.pem: CA 私钥, 用于生成服务器端/客户端的数字证书.

server-key.pem: 服务器端的 RSA 私钥

server-req.pem: 服务器端的证书请求文件, 用于生成服务器端的数字证书.

server-cert.pem: 服务器端的数字证书.

client-key.pem: 客户端的 RSA 私钥

client-req.pem: 客户端的证书请求文件, 用于生成客户端的数字证书.

client-cert.pem: 客户端的数字证书.

接下来我们就需要分别配置服务器端和客户端.

服务器端配置

服务器端需要用到三个文件, 分别是: CA 证书, 服务器端的 RSA 私钥, 服务器端的数字证书, 我们需要在 [mysqld] 配置域下添加如下内容:


[mysqld]

ssl-ca=/etc/mysql/ca-cert.pem

ssl-cert=/etc/mysql/server-cert.pem

ssl-key=/etc/mysql/server-key.pem

接着我们还可以更改 bind-address, 使 MySQL 服务可以接收来自所有 ip 地址的客户端, 即:


bind-address = *

当配置好后, 我们需要重启 MySQL 服务, 使能配置.

最后一步, 我们添加一个需要使用 SSL 才可以登录的帐号, 来验证一下我们所配置的 SSL 是否生效:

代码如下:


GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;

FLUSH PRIVILEGES;

当配置好后, 使用 root 登录 MySQL, 执行 show variables like '%ssl%' 语句会有如下输出:


mysql> show variableslike'%ssl%';

+---------------+-----------------+

| Variable_name | Value      |

+---------------+-----------------+

| have_openssl | YES       |

| have_ssl   | YES       |

| ssl_ca    | ca.pem     |

| ssl_capath  |         |

| ssl_cert   | server-cert.pem |

| ssl_cipher  |         |

| ssl_crl    |         |

| ssl_crlpath  |         |

| ssl_key    | server-key.pem |

+---------------+-----------------+

9rowsinset(0.01 sec)

客户端配置

客户端配置相对简单一些. 首先我们需要拷贝 ca-cert.pem, client-cert.pem 和 client-key.pem 这三个文件到客户端主机中, 然后我们可以执行如下命令来使用 SSL 连接 MySQL 服务:

mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -h host_name -u ssl_test -p

除了上述的使用命令行方式配置 SSL 外, 我们也可以使用配置文件的方式. 即在 ~/.my.cnf 文件中添加如下内容即可:


[client]

ssl-ca=/path/to/ca-cert.pem

ssl-cert=/path/to/client-cert.pem

ssl-key=/path/to/client-key.pem

当连接成功后, 我们执行如下指令


mysql> \s

--------------

mysql Ver 14.14 Distrib 5.7.17,forLinux (x86_64) using EditLine wrapper

Connectionid:    14

Currentdatabase:

Currentuser:    ssl_test@172.17.0.4

SSL:      CipherinuseisDHE-RSA-AES256-SHA

Currentpager:    stdout

Using outfile:   ''

Using delimiter:  ;

Server version:    5.7.17 MySQL Community Server (GPL)

Protocol version:  10

Connection:    test_db via TCP/IP

Server characterset:  latin1

Db   characterset:  latin1

Client characterset:  latin1

Conn. characterset:  latin1

TCP port:    3306

Uptime:      1hour2min9 sec

Threads: 1 Questions: 23 Slow queries: 0 Opens: 126 Flush tables: 3Opentables: 0 Queries persecondavg: 0.006

--------------

如果输出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 之类的信息, 则表示已经使用 SSL 来连接了.

在 Docker 中使能 MySQL SSL 连接

上面我们简单介绍了一下如果使能 MySQL SSL 连接, 那么现在我们使用 Docker 来具体的实战一把吧!

首先拉取最新的 MySQL 镜像:

docker pull mysql

然后需要准备一下挂载到 Docker 容器的目录结构:


>>>cd~/temp

>>> tree

.

├── cert

│  ├── ca-key.pem

│  ├── ca.pem

│  ├── client-cert.pem

│  ├── client-key.pem

│  ├── private_key.pem

│  ├── public_key.pem

│  ├── server-cert.pem

│  └── server-key.pem

├── config

│  └── my.cnf

└── db

3 directories, 9 files

在 temp 目录下有三个子目录:

cert 目录用于存放我们先前生成的证书和私钥信息;

config 目录用于存放 MySQL 服务的配置文件

db 目录是用于存放 MySQL 的数据.

下一步我们需要使用如下命令启动 MySQL 容器:

代码如下:

docker run --rm --name test_db -p 10000:3306 -e MYSQL_ROOT_PASSWORD=root -v /Users/xiongyongshun/temp/db:/var/lib/mysql -v /Users/xiongyongshun/temp/config:/etc/mysql/conf.d -v /Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql:latest

我们在上面的命令中, 我们分别挂载了 cert, config, db 这三个宿主机上的目录到 MySQL 容器中.

启动了 MySQL 服务后, 可以先使用 root 帐号登录 MySQL, 来检查 MySQL 服务此时是否已经开启了 SSL 功能:

docker run -it --link test_db:test_db --rm mysql sh -c 'exec mysql -u root -p -h test_db'

登录成功后, 我们在 MySQL 中执行如下指令:


mysql> show variables like'%ssl%';

+---------------+---------------------------------+

| Variable_name | Value              |

+---------------+---------------------------------+

| have_openssl | YES               |

| have_ssl   | YES               |

| ssl_ca    |/etc/mysql/cert/ca-cert.pem   |

| ssl_capath  |                 |

| ssl_cert   |/etc/mysql/cert/server-cert.pem |

| ssl_cipher  |                 |

| ssl_crl    |                 |

| ssl_crlpath  |                 |

| ssl_key    |/etc/mysql/cert/server-key.pem |

+---------------+---------------------------------+

9 rowsinset(0.01 sec)

有上面的输出后, 表明此时 MySQL 服务已经使用 SSL 功能了.

接着下一步, 我们按照前面所提到的, 创建一个仅仅可以使用 SSL 登录的帐号, 来检验我们的配置是否有效:

代码如下:


GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;

FLUSH PRIVILEGES;[code]

上面的命令创建了一个帐号名为 ssl_test, 密码为 ssl_test, 并且不限制登录主机 ip 的帐号.

这些都配置成功后, 我们再启动一个 MySQL 客户端容器:

[code]docker run -it --link test_db:test_db --rm -v /Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql sh -c 'exec mysql --ssl-ca=/etc/mysql/cert/ca-cert.pem --ssl-cert=/etc/mysql/cert/client-cert.pem --ssl-key=/etc/mysql/cert/client-key.pem -h test_db -u ssl_test -p'

从上面的这个命令中我们可以看到, 启动 MySQL 客户端容器时, 我们挂载了宿主机的 cert 目录到容器内的 /etc/mysql/cert 目录, 这样在容器中就可以访问到 SSL 私钥和证书文件了. 接着我们在 MySQL 客户端命令行中, 使用 --ssl-ca, --ssl-cert, --ssl-key 这三个参数来指定 SSL 连接所需要的 CA 证书, RSA 私钥和客户端证书.

登录成功后, 我们执行 s 命令:


mysql> \s

--------------

mysql Ver 14.14 Distrib 5.7.17,forLinux (x86_64) using EditLine wrapper

Connectionid:    5

Current database:

Current user:    ssl_test@172.17.0.5

SSL:      Cipherinuse is DHE-RSA-AES256-SHA

Current pager:    stdout

Using outfile:   ''

Using delimiter:  ;

Server version:    5.7.17 MySQL Community Server (GPL)

Protocol version:  10

Connection:    test_db via TCP/IP

Server characterset:  latin1

Db   characterset:  latin1

Client characterset:  latin1

Conn. characterset:  latin1

TCP port:    3306

Uptime:      6 min 8 sec

Threads: 2 Questions: 10 Slow queries: 0 Opens: 113 Flush tables: 1 Open tables: 106 Queries per second avg: 0.027

--------------

输出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 信息则说明我们确实是使用了 SSL 连接的 MySQL 服务器。

时间: 2024-09-21 05:18:32

MySQL怎么使用SSL连接配置 MySQL使用SSL连接配置的方法的相关文章

Tomcat下配置Mysql的连接池

1.在$CATALINA_HOME/conf/server.xml中添加配置信息,声明连接池的具体信息,添加内容如下 factory                        org.apache.commons.dbcp.BasicDataSourceFactory                        maxWait                        5000            maxActive                        20        

Ubuntu16.04 server下配置MySQL,并开启远程连接的方法

代码如下: GRANT ALL PRIVILEGES ON *.* TO 'Ubuntu'@'%' IDENTIFIED BY '123456' WITH GRANT OPTION; 运行完后紧接着输入,以更新数据库: FLUSH PRIVILEGES; 效果如下图: 执行quit退出mysql. 由于MySQL默认支队本地使用,没有开放远程连接,于是需要到配置文件中去修改,当然新版的MySQL不知道为什么配置文件和以前不太一样了,以前都放在:/etc/mysql/my.cnf里,但是现在我们去

jboss里怎么配置mysql数据库的连接池啊?

问题描述 我想配置好mysql的数据库连接池给hibernate用但不知如何配置?希望有人可以指点一二 解决方案 大概这样子:<bean id="dataSource" class="org.apache.commons.dbcp.BasicDataSource" destroy-method="close"> <property name="driverClassName" value="com.

在ubuntu9.0上配置MySQL集群详细教程

家在网上都能找到都是RedHat系统等等,对Ubuntu系统MySQL集群就没有介绍文章,我现在写写Ubuntu这个MySQL集群方法.新手不要骂我,呵呵. 介绍网络环境: 测试环境: Server1: ndbd 192.168.245.11 Server2: ndbd 192.168.245.12 Server3: mysqld –ndb-cluster 192.168.245.13 ndbd: 数据库节点. mysqld –ndb-cluster: MySQL服务器节点,程序直接访问的是这台

Tomcat下配置MySQL数据库连接池

mysql|数据|数据库|数据库连接 经过大半天的实践和摸索,终于在Tomcat下成功地配置MySQL的数据库连接池.总结如下: 1.在$CATALINA_HOME/conf/server.xml中添加配置信息,声明连接池的具体信息,添加内容如下: <!--声明连接池--> <Resource name="jdbc/mysql"auth="Container" type="javax.sql.DataSource"/> &

MYSQL客户机程序4—在运行时获取连接参数

    6.5 客户机程序4-在运行时获取连接参数     现在我们有了容易修改的防止出现错误的连接代码,我们要了解一些如何做某些比使用NULL 连接参数更灵巧的事情,如在运行时允许用户指定一些值.客户机程序3由于固定连接参数方面的缺陷,要想更改那些值中的任何一个,都必须编辑源文件并重新编译.这十分不方便,特别是想使程序用于其他人时.在运行时指定连接参数的一个通用的方法是使用命令行选项.MySQL分发包中的程序接受两种形式的连接参数,如表6 - 1所示.    与标准的MySQL客户机程序一致,

Tomcat 5.5 配置 MySQL 数据库连接池

mysql|数据|数据库|数据库连接 用了最新的几个咚咚,搞了整整一天终于搞清楚了Tomcat 5.5 配置 MySQL 数据库连接池,网上的经验并不能完全用到新环境里面,我写出整个过程以方便大家配置. 1 环境描述 JDK 1.5 Tomcat 5.5.4 MySQL 4.0.20 MySQL JDBC 3.0.15 Commons dbcp 1.2.1 2 准备工作 JDK, Tomcat, MySQL安装过程并非我的重点,略过. 从http://dev.mysql.com/download

Windows Server 2003 下配置 MySQL 集群(Cluster)教程

  这篇文章主要介绍了Windows Server 2003 下配置 MySQL 集群(Cluster)教程,本文先是讲解了原理知识,然后给出详细配置步骤和操作方法,需要的朋友可以参考下 MySQL 群集是 MySQL 适合于分布式计算环境的高可用.高冗余版本.它采用了 NDB Cluster 存储引擎,允许在 1 个群集中运行多个 MySQL 服务器.在 MySQL 5.0 及以上的二进制版本中,以及与最新的 Linux 版本兼容的 RPM 包中提供了该存储引擎. MySQL 群集是一种技术,

Windows环境下配置MySQL Cluster

  一.准备工作 首先得准备好硬件设施.我这里是3台机器在做群集.结构如下: 管理节点(MGM) 172.16.0.162(db1) SQL节点1(SQL1) 172.16.0.161(db2) SQL节点2(SQL2) 172.16.0.202(db3) 数据节点1(NDBD1) 172.16.0.161(db4) 数据节点2(NDBD2) 172.16.0.202(db4) 这个硬件搞定了.现在搞软件 最好下载7以上的版本.因为性能好嘛,7.2这个版本的新特性上介绍说是:自适应查询本地化(A