极客教程如何在Linux上为MySQL服务器和客户端设置SSL加密
在本教程中,我将解释如何使用SSH连接设置与MySQL服务器的安全连接以进行加密,以使数据库中的数据安全,并且不可能被黑客窃取数据。 SSL 用于验证 SSL 证书的方式,可防止钓鱼攻击。这还将向您展示如何在 MySQL 服务器上启用 SSL。
阅读更多:MySQL 教程
启用 SSL 支持
连接到 MySQL 服务器并检查 MySQL 服务器的 SSL 状态。
# mysql -u root -p
mysql> show variables like '%ssl%';
Output:
+---------------+----------+
| Variable_name | Value |
+---------------+----------+
| have_openssl | DISABLED |
| have_ssl | DISABLED |
| ssl_ca | |
| ssl_capath | |
| ssl_cert | |
| ssl_cipher | |
| ssl_key | |
+---------------+----------+
7 rows in set (0.00 sec)
mysql> \q
Bye
为 MySQL 生成 SSL 证书
创建用于存储证书文件的目录。
# mkdir /etc/certificates
# cd /etc/certificates
生成服务器证书
# openssl genrsa 2048 > ca-key.pem
Generating RSA private key, 2048 bit long modulus
...................................................................................+++
..........+++
e is 65537 (0x10001)
# openssl req -newkey rsa:2048 -days 1000 -nodes -keyout server-key.pem > server-req.pem
Generating a 2048 bit RSA private key
..................+++
..............................................................................................+++
writing new private key to 'server-key.pem'
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
# openssl x509 -req -in server-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd
Error opening CA Certificate ca-cert.pem
139991633303368:error:02001002:system library:fopen:No such file or directory:bss_file.c:398:fopen('ca-cert.pem','r')
139991633303368:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
unable to load certificate
生成客户端证书
# openssl req -newkey rsa:2048 -days 1000 -nodes -keyout client-key.pem > client-req.pem
产生 2048 位元 RSA 私人密钥
...............................................+++
.................+++
将新的私人密钥写入 'client-key.pem'
-----
您即将被要求输入将被纳入您的证书请求的信息。
您即将输入的是称为 Distinguished Name 或 DN 的内容。
有相当多的字段,但您可以将某些字段留空
对于某些字段,将有默认值,
如果您输入 '.',则该字段将留空。
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
请输入以下“extra”属性:openssl x509 -req -in client-req.pem -days 1000 -CA ca-# cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem
Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd
打开 CA 证书 ca-cert.pem 时出错
140327140685640:error:02001002:system library:fopen:No such file or directory:bss_file.c:398:fopen('ca-cert.pem','r')
140327140685640:error:20074002:BIO routines:FILE_CTRL:system lib:bss_file.c:400:
无法加载要与您的证书请求一同发送的证书
A challenge password []:
An optional company name []:
现在打开 my.cnf 文件并添加证书
# vi /etc/my.cnf
[mysqld]
ssl-ca=/etc/certificates/cacert.pem
ssl-cert=/etc/certificates/server-cert.pem
ssl-key=/etc/certificates/server-key.pem
重新启动 MySQL 服务器并检查证书状态
#service mysqld restart
#mysql -uroot -p
mysql>show variables like '%ssl%';
+---------------+-----------------------------------+
| Variable_name | Value |
+---------------+-----------------------------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | /etc/certificates/cacert.pem |
| ssl_capath | |
| ssl_cert | /etc/certificates/server-cert.pem |
| ssl_cipher | |
| ssl_key | /etc/certificates/server-key.pem |
+---------------+-----------------------------------+
7 rows in set (0.00 sec)
创建具有 SSL 访问权限的用户
mysql> GRANT ALL PRIVILEGES ON *.* TO 'ssl_user'@'%' IDENTIFIED BY 'password' REQUIRE SSL;
mysql> FLUSH PRIVILEGES;
配置 MySQL 客户端的 SSL
从服务器端,我们需要将 client-cert.pem、client-key.pem 和 client-req.pem 从服务器复制到客户端。
# scp /etc/ certificates/client-cert.pem root@192.168.87.158:/etc/certificates
# scp /etc/ certificates/client-key.pem root@192.168.87.158:/etc/certificates
# scp /etc/ certificates/client-req.pem root@192.168.87.158:/etc/certificates
一旦将文件传输到客户端,连接客户端并尝试使用 SSL 证书连接到 MySQL。
# mysql --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem -h 192.168.87.156 -u ssluser -p
欢迎使用 MySQL Monitor。命令以 ; 或 \g 结尾。
您的 MySQL 连接 ID 为 3
服务器版本:5.1.73 Source distribution
Copyright (c) 2000, 2013, Oracle 和/或其关联公司保留所有权利。
Oracle 是 Oracle Corporation 和/或其关联公司的注册商标。其他名称可能是各自所有者的商标。
输入 'help;' 或 '\h' 获取帮助。输入 '\c' 以清除当前输入语句。
mysql> 状态
--------------
mysql Ver 14.14 Distrib 5.1.73,for redhat-linux-gnu (x86_64) using readline 5.1
连接 ID:3
当前数据库:
当前用户:root@localhost
SSL:正在使用的密码为 DHE-RSA-AES256-SHA
当前分页器:stdout
使用 outfile:''
使用分隔符:;
服务器版本:5.1.73 Source distribution
协议版本:10
连接:通过 TCP/IP 连接 192.168.87.158
服务器字符集:latin1
Db字符集:latin1
客户端字符集:latin1
Conn. 字符集:latin1
UNIX 套接字:/var/lib/mysql/mysql.sock
正常运行时间:11min13s
线程数:1 问题:8 慢查询数:0 打开数:15 刷新表:1 打开表:8平均每秒查询数:0.11
以后,在/etc/my.cnf文件中添加设置,以便我们永久性地使用 SSL 连接到 MySQL 服务器时进行连接。
# vi /etc/my.cnf
[client]
ssl-ca=/etc/certificates/ client-cert.pem
ssl-cert=/etc/certificates/client-cert.pem
ssl-key=/etc/certificates/client-key.pem
在完成这个设置后,我们现在可以使用 SSL 密钥从客户端连接到 MySQL 服务器,以保护数据免受数据窃取和黑客攻击。