本文来自我的github pages博客http://galengao.github.io/ 即www.gaohuirong.cn
摘要:
- mysql5.7后有ssl新特性
- 自己搭建mysql enterprise monitor后发现这个功能所以折腾了下
用户想要与MySQL服务器建立一条安全连接时,常常依赖VPN隧道或SSH隧道。不过,获得MySQL连接的另一个办法是,启用MySQL服务器上的SSL封装器(SSL wrapper)。这每一种方法各有其优缺点。比如说,在出现多条短时间MySQL连接的高度动态环境下,VPN或SSH隧道也许是比SSL更好的选择,因为后者建立每条连接时需要成本高昂的SSL握手计算。另一方面,如果是长时间运行的MySQL连接比较少的那些应用,基于SSL的加密可能很合理。由于MySQL服务器已经内置了SSL支持功能,你不需要实施VPN或SSH隧道之类单独的安全层,这种隧道有其自己的维护开销。
在MySQL服务器中实施SSL可以加密在服务器与客户机之间来回传输的所有数据,因而防止广域网或数据中心里面可能出现的窃听或数据嗅探行为。此外,SSL还通过SSL证书提供了身份验证机制,因而可以保护用户,远离可能出现的网络钓鱼攻击。
我们在本文中将介绍如何启用MySQL服务器上的SSL。请注意:同样过程适用于MariaDB服务器。
创建证书和秘钥
注意:创建server端和client的证书和秘钥都是在你的那个mysql 主服务器上创建的,到时把client拷贝走就行
创建server的ssl证书和秘钥
- 检查服务器是否安装openssl
[root@github data]# openssl version
OpenSSL 1.0.1e-fips Feb
- 创建一个临时目录
mkdir /data
cd /data
- 创建CA私钥和证书,将创建ca-key.pem和ca-cert.pem
[root@github data]# openssl genrsa > ca-key.pem
# 下面命令会让你输入国家 省份等一些信息,随便输入记住就行
[root@github data]# openssl req -sha1 -new -x509 -nodes -days -key ca-key.pem > ca-cert.pem
- 为服务器创建私钥
# 这个命令会再次询问几个问题,你可以填写上一步中提供的相同答案。
[root@github data]# openssl req -sha1 -newkey rsa: -days -nodes -keyout server-key.pem > server-req.pem
- 将服务器的私钥导出成RSA类型的密钥
[root@github data]# openssl rsa -in server-key.pem -out server-key.pem
- 最后,使用CA证书,创建服务器证书。
[root@github data]# openssl x509 -sha1 -req -in server-req.pem -days -CA ca-cert.pem -CAkey ca-key.pem -set_serial > server-cert.pem
- 完成上述步骤后在data目录下就会有
-rw-r--r--. root root Jul : ca-cert.pem
-rw-r--r--. root root Jul : ca-key.pem
-rw-r--r--. root root Jul : server-cert.pem
-rw-r--r--. root root Jul : server-key.pem
-rw-r--r--. root root Jul : server-req.pem
生成客户端ssl秘钥
当我们需要用客户端ssl访问本服务端时,首先我们要在本服务器上生成证书,然后拷贝到你需要用来访问的客户端
- MySQL服务器主机上运行下列命令
# 类似服务器端配置,也会有一些国家省份等信息填写,与服务端一致就行
[root@github data]# openssl req -sha1 -newkey rsa: -days -nodes -keyout client-key.pem > client-req.pem
- 我们还需要将创建的客户机私钥转换成RSA类型
[root@github data]# openssl rsa -in client-key.pem -out client-key.pem
- 最后使用服务器的CA私钥和证书,创建客户机证书
[root@github data]# openssl x509 -sha1 -req -in client-req.pem -days -CA ca-cert.pem -CAkey ca-key.pem -set_serial > client-cert.pem
- 完成上述步骤后在data目录下就会有加上服务端
-rw-r--r--. root root Jul : ca-cert.pem
-rw-r--r--. root root Jul : ca-key.pem
-rw-r--r--. root root Jul : client-cert.pem
-rw-r--r--. root root Jul : client-key.pem
-rw-r--r--. root root Jul : client-req.pem
-rw-r--r--. root root Jul : server-cert.pem
-rw-r--r--. root root Jul : server-key.pem
-rw-r--r--. root root Jul : server-req.pem
配置服务端
- 刚开始没有配置时,mysql默认ssl没有开启如下
mysql> show variables like '%ssl%';
+---------------+----------+
| Variable_name | Value |
+---------------+----------+
| have_openssl | DISABLED |
| have_ssl | DISABLED |
| ssl_ca | |
| ssl_capath | |
| ssl_cert | |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | |
+---------------+----------+
- 配置mysql server的my.cnf
vi /etc/my.cnf
# 假如如下信息
bind-address=* ssl-ca =/data/ca-cert.pem
ssl-cert =/data/server-cert.pem
ssl-key =/data/server-key.pem [client]
ssl-ca =/data/ca-cert.pem
ssl-cert =/data/client-cert.pem
ssl-key =/data/client-key.pem
- 创建有权通过SSL访问MySQL服务器的用户
mysql> GRANT ALL PRIVILEGES ON *.* TO 'ssluser'@'%' IDENTIFIED BY 'abcdef' REQUIRE SSL;
mysql> FLUSH PRIVILEGES;
- 重启mysql
service mysql restart
- 这时查看ssl是否开启
mysql> show variables like '%ssl%';
+---------------+-----------------------+
| Variable_name | Value |
+---------------+-----------------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | /data/ca-cert.pem |
| ssl_capath | |
| ssl_cert | /data/server-cert.pem |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | /data/server-key.pem |
+---------------+-----------------------+
至此,就成功了,
如果其他服务器客户端要ssl连接该服务端,将ca-cert.pem、client-cert.pem和client-key.pem文件拷贝到你的客户端的目录下,比如、/data下面
然后如下访问
mysql --ssl-ca=/data/ca-cert.pem --ssl-cert=/data/client-cert.pem --ssl-key=/data/client-key.pem -h 192.168.10.145 -u ssluser -p