MySQL/Encrypted Connection

客戶端可以與MySQL伺服器加密連接,也可以非加密連接。這是採用了SSL(Secure Socket Layer:安全套接字層),利用數據加密、身份驗證和消息完整性驗證機制,為基於TCP等可靠連接的應用層協議提供安全性保證。

伺服器Data目錄下的SSL相關文件

編輯
  • ca-key.pem #CA私鑰
  • ca.pem #自簽的CA證書,客戶端連接也需要提供
  • client-cert.pem #客戶端連接伺服器端需要提供的證書文件(因為安裝一套伺服器的bin目錄總是帶著一套client工具)
  • client-key.pem #客戶端連接伺服器端需要提供的私鑰文件
  • private_key.pem #私鑰/公鑰對的私有成員
  • public_key.pem #私鑰/公鑰對的共有成員
  • server-cert.pem #伺服器端證書公鑰文件
  • server-key.pem #伺服器端證書私鑰文件

在伺服器中查看是否開啟了SSL連接

編輯

root登錄後:

mysql>show global variables like '%ssl%';

查看用戶是否用SSL連接

編輯
mysql>\s
...
SSL: Cipher in use is DHE-RSA-AES128-GCM-SHA256
...

強制指定用戶必須使用SSL連接資料庫

編輯
#修改已存在用户 
ALTER USER 'dba'@'%' REQUIRE SSL;
#新建必须使用SSL用户
grant select on *.* to UserName@'%' identified by 'xxx' REQUIRE SSL;

伺服器啟動時的相關參數

編輯

啟動時關閉SSL:

mysqld --console --skip-ssl

或使用配置文件,即在 my.cnf 文件中添加如下內容: [mysqld]

實際上,如果伺服器軟體在默認的data文件夾發現了有效的certificate與key 文件ca.pem、server-cert.pem、server-key.pem,就會支持客戶端加密連接,否則就不支持客戶端加密連接。

客戶端登錄時的SSL參數

編輯

對於非強制SSL連接的資料庫用戶,登錄時會先嘗試SSL,失敗後再嘗試非加密連接。

客戶端關閉SSL的登陸: mysql -h localhost -u root -p --ssl-mode=DISABLED

客戶端開啟SSL登陸,需要拷貝 ca-cert.pem到本地。執行:

mysql -uroot -hlocalhost -pzdh1234 --ssl-ca=/home/mysql/sslconfig/ca.pem

或使用配置文件,即在 my.cnf 文件中添加如下內容:

[client] 
ssl-ca=/home/mysql/sslconfig/ca.pem