MySQL 使用 SSL 連接配置詳解

Mysql關系型數據庫管理系統

mysql是一個開放源碼的小型關聯式數據庫管理系統,開發者為瑞典mysql ab公司。mysql被廣泛地應用在internet上的中小型網站中。由于其體積小、速度快、總體擁有成本低,尤其是開放源碼這一特點,許多中小型網站為了降低網站總體擁有成本而選擇了mysql作為網站數據庫。

本文給大家分享的是如何配置MySQL支持SSL連接方式的方法以及在docker中配置的具體案例,有需要的小伙伴可以參考下

查看是否支持 SSL

首先在 MySQL 上執行如下命令, 查詢是否 MySQL 支持 SSL:

mysql>?SHOW?VARIABLES?LIKE?'have_ssl';  +---------------+-------+  |?Variable_name?|?Value?|  +---------------+-------+  |?have_ssl???|?YES??|  +---------------+-------+  1?row?in?set?(0.02?sec)

當 have_ssl 為 YES 時, 表示此時 MySQL 服務已經支持 SSL 了. 如果是 DESABLE, 則需要在啟動 MySQL 服務時, 使能 SSL 功能.

使用 OpenSSL 創建 SSL 證書和私鑰

首先我們需要使用 openssl 來創建服務器端的證書和私鑰. 我使用的 openssl 版本為:

>>>?/usr/local/Cellar/openssl/1.0.2j/bin/openssl?version  OpenSSL?1.0.2j?26?Sep?2016

新建一個 ~/temp/cert 目錄, 用于存放生成的證書和私鑰

mkdir?~/temp/cert  cd?~/temp/cert

創建 CA 私鑰和 CA 證書

然后, 我們先來生成一個 CA 私鑰:

openssl genrsa 2048 > ca-key.pem

當有了一個 CA 私鑰, 我們接下來就可以使用這個私鑰生成一個新的數字證書:

openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

執行這個命令時, 會需要填寫一些問題, 隨便填寫就可以了. 例如:

>>>?openssl?req?-sha1?-new?-x509?-nodes?-days?3650?-key?ca-key.pem?>?ca-cert.pem    You?are?about?to?be?asked?to?enter?information?that?will?be?incorporated  into?your?certificate?request.  What?you?are?about?to?enter?is?what?is?called?a?Distinguished?Name?or?a?DN.  There?are?quite?a?few?fields?but?you?can?leave?some?blank  For?some?fields?there?will?be?a?default?value,  If?you?enter?'.',?the?field?will?be?left?blank.  -----  Country?Name?(2?letter?code)?[AU]:CN  State?or?Province?Name?(full?name)?[Some-State]:Beijing  Locality?Name?(eg,?city)?[]:Beijing  Organization?Name?(eg,?company)?[Internet?Widgits?Pty?Ltd]:xys  Organizational?Unit?Name?(eg,?section)?[]:xys  Common?Name?(e.g.?server?FQDN?or?YOUR?name)?[]:xys  Email?Address?[]:yongshun1228@gmail.com

執行上述命令后, 我們就有了一個 CA 私鑰和一個 CA 證書.

創建服務器端的 RSA 私鑰和數字證書

接著, 我們需要創建服務器端的私鑰和一個證書請求文件, 命令如下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

上面這個命令會生成一個新的私鑰(server-key.pem), 同時會使用這個新私鑰來生成一個證書請求文件(server-req.pem).
上面這個命令同樣需要回答幾個問題, 隨便填寫即可. 不過需要注意的是, A challenge password 這一項需要為空.
即:

>>>?openssl?req?-sha1?-newkey?rsa:2048?-days?3650?-nodes?-keyout?server-key.pem?>?server-req.pem    Generating?a?2048?bit?RSA?private?key  .................+++  ..+++  writing?new?private?key?to?'server-key.pem'  -----  You?are?about?to?be?asked?to?enter?information?that?will?be?incorporated  into?your?certificate?request.  What?you?are?about?to?enter?is?what?is?called?a?Distinguished?Name?or?a?DN.  There?are?quite?a?few?fields?but?you?can?leave?some?blank  For?some?fields?there?will?be?a?default?value,  If?you?enter?'.',?the?field?will?be?left?blank.  -----  Country?Name?(2?letter?code)?[AU]:CN  State?or?Province?Name?(full?name)?[Some-State]:Beijing  Locality?Name?(eg,?city)?[]:Beijing  Organization?Name?(eg,?company)?[Internet?Widgits?Pty?Ltd]:xys  Organizational?Unit?Name?(eg,?section)?[]:xys  Common?Name?(e.g.?server?FQDN?or?YOUR?name)?[]:xys  Email?Address?[]:yongshun1228@gmail.com    Please?enter?the?following?'extra'?attributes  to?be?sent?with?your?certificate?request  A?challenge?password?[]:  An?optional?company?name?[]:

下一步, 我們需要將生成的私鑰轉換為 RSA 私鑰文件格式:

openssl rsa -in server-key.pem -out server-key.pem

最后一步, 我們需要使用原先生成的 CA 證書來生成一個服務器端的數字證書:

openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

上面的命令會創建以服務器端的數字證書文件.

創建客戶端的 RSA 私鑰和數字證書

和服務器端所執行的命令類似, 我們也需要為客戶端生成一個私鑰和證書請求文件, 命令如下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem

同樣地, 我們需要將生成的私鑰轉換為 RSA 私鑰文件格式:

openssl rsa -in client-key.pem -out client-key.pem

最后, 我們也需要為客戶端創建一個數字證書:

openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem

使用工具創建證書與私鑰

前面我們介紹了如何使用 OpenSSL 來創建 SSL 連接的私鑰和證書文件, 現在我們來看一個更簡單的方法.
在 MySQL 5.7 中, 提供了一個名為 mysql_ssl_rsa_setup 的工具, 通過它, 我們可以很方便地創建 SSL 連接所需要的各種文件:

mkdir?~/temp/cert  cd?~/temp/cert  mysql_ssl_rsa_setup?--datadir?./

上面的命令中, –datadir 表示生成的文件的目錄.

當執行了上述命令后, 也會生成八個文件:

ca-key.pem  ca.pem  client-cert.pem  client-key.pem  private_key.pem  public_key.pem  server-cert.pem  server-key.pem

這些文件和我們使用 OpenSSL 所創建的那八個文件的作用是一樣的, 這里就不再詳述了.

SSL 配置

在前面的步驟中, 我們已經生成了8個文件, 分別是:

ca-cert.pem: CA 證書, 用于生成服務器端/客戶端的數字證書.
ca-key.pem: CA 私鑰, 用于生成服務器端/客戶端的數字證書.
server-key.pem: 服務器端的 RSA 私鑰
server-req.pem: 服務器端的證書請求文件, 用于生成服務器端的數字證書.
server-cert.pem: 服務器端的數字證書.
client-key.pem: 客戶端的 RSA 私鑰
client-req.pem: 客戶端的證書請求文件, 用于生成客戶端的數字證書.
client-cert.pem: 客戶端的數字證書.

接下來我們就需要分別配置服務器端和客戶端.

服務器端配置

服務器端需要用到三個文件, 分別是: CA 證書, 服務器端的 RSA 私鑰, 服務器端的數字證書, 我們需要在 [mysqld] 配置域下添加如下內容:

[mysqld]  ssl-ca=/etc/mysql/ca-cert.pem  ssl-cert=/etc/mysql/server-cert.pem  ssl-key=/etc/mysql/server-key.pem

接著我們還可以更改 bind-address, 使 MySQL 服務可以接收來自所有 ip 地址的客戶端, 即:

bind-address = *

當配置好后, 我們需要重啟 MySQL 服務, 使能配置.

最后一步, 我們添加一個需要使用 SSL 才可以登錄的帳號, 來驗證一下我們所配置的 SSL 是否生效:

GRANT?ALL?PRIVILEGES?ON?*.*?TO?'ssl_test'@'%'?IDENTIFIED?BY?'ssl_test'?REQUIRE?SSL;    FLUSH?PRIVILEGES;

當配置好后, 使用 root 登錄 MySQL, 執行 show variables like ‘%ssl%’ 語句會有如下輸出:

mysql>?show?variables?like?'%ssl%';  +---------------+-----------------+  |?Variable_name?|?Value??????|  +---------------+-----------------+  |?have_openssl?|?YES???????|  |?have_ssl???|?YES???????|  |?ssl_ca????|?ca.pem?????|  |?ssl_capath??|?????????|  |?ssl_cert???|?server-cert.pem?|  |?ssl_cipher??|?????????|  |?ssl_crl????|?????????|  |?ssl_crlpath??|?????????|  |?ssl_key????|?server-key.pem?|  +---------------+-----------------+  9?rows?in?set?(0.01?sec)

客戶端配置

客戶端配置相對簡單一些. 首先我們需要拷貝 ca-cert.pem, client-cert.pem 和 client-key.pem 這三個文件到客戶端主機中, 然后我們可以執行如下命令來使用 SSL 連接 MySQL 服務:

mysql –ssl-ca=/path/to/ca-cert.pem –ssl-cert=/path/to/client-cert.pem –ssl-key=/path/to/client-key.pem -h host_name -u ssl_test -p
除了上述的使用命令行方式配置 SSL 外, 我們也可以使用配置文件的方式. 即在 ~/.my.cnf 文件中添加如下內容即可:

[client]  ssl-ca=/path/to/ca-cert.pem  ssl-cert=/path/to/client-cert.pem  ssl-key=/path/to/client-key.pem

當連接成功后, 我們執行如下指令

mysql>?s  --------------  mysql?Ver?14.14?Distrib?5.7.17,?for?Linux?(x86_64)?using?EditLine?wrapper    Connection?id:????14  Current?database:  Current?user:????ssl_test@172.17.0.4  SSL:??????Cipher?in?use?is?DHE-RSA-AES256-SHA  Current?pager:????stdout  Using?outfile:????''  Using?delimiter:??;  Server?version:????5.7.17?MySQL?Community?Server?(GPL)  Protocol?version:??10  Connection:????test_db?via?TCP/IP  Server?characterset:??latin1  Db???characterset:??latin1  Client?characterset:??latin1  Conn.?characterset:??latin1  TCP?port:????3306  Uptime:??????1?hour?2?min?9?sec    Threads:?1?Questions:?23?Slow?queries:?0?Opens:?126?Flush?tables:?3?Open?tables:?0?Queries?per?second?avg:?0.006  --------------

如果輸出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 之類的信息, 則表示已經使用 SSL 來連接了.

在 Docker 中使能 MySQL SSL 連接

上面我們簡單介紹了一下如果使能 MySQL SSL 連接, 那么現在我們使用 Docker 來具體的實戰一把吧!

首先拉取最新的 MySQL 鏡像:

docker pull mysql

然后需要準備一下掛載到 Docker 容器的目錄結構:

>>>?cd?~/temp  >>>?tree  .  ├──?cert  │??├──?ca-key.pem  │??├──?ca.pem  │??├──?client-cert.pem  │??├──?client-key.pem  │??├──?private_key.pem  │??├──?public_key.pem  │??├──?server-cert.pem  │??└──?server-key.pem  ├──?config  │??└──?my.cnf  └──?db    3?directories,?9?files

在 temp 目錄下有三個子目錄:

cert 目錄用于存放我們先前生成的證書和私鑰信息;
config 目錄用于存放 MySQL 服務的配置文件
db 目錄是用于存放 MySQL 的數據.

下一步我們需要使用如下命令啟動 MySQL 容器:

docker?run?--rm?--name?test_db?-p?10000:3306?-e?MYSQL_ROOT_PASSWORD=root?-v?/Users/xiongyongshun/temp/db:/var/lib/mysql?  -v?/Users/xiongyongshun/temp/config:/etc/mysql/conf.d?-v?/Users/xiongyongshun/temp/cert:/etc/mysql/cert?mysql:latest

我們在上面的命令中, 我們分別掛載了 cert, config, db 這三個宿主機上的目錄到 MySQL 容器中.

啟動了 MySQL 服務后, 可以先使用 root 帳號登錄 MySQL, 來檢查 MySQL 服務此時是否已經開啟了 SSL 功能:

docker run -it –link test_db:test_db –rm mysql sh -c ‘exec mysql -u root -p -h test_db’

登錄成功后, 我們在 MySQL 中執行如下指令:

mysql>?show?variables?like?'%ssl%';  +---------------+---------------------------------+  |?Variable_name?|?Value??????????????|  +---------------+---------------------------------+  |?have_openssl?|?YES???????????????|  |?have_ssl???|?YES???????????????|  |?ssl_ca????|?/etc/mysql/cert/ca-cert.pem???|  |?ssl_capath??|?????????????????|  |?ssl_cert???|?/etc/mysql/cert/server-cert.pem?|  |?ssl_cipher??|?????????????????|  |?ssl_crl????|?????????????????|  |?ssl_crlpath??|?????????????????|  |?ssl_key????|?/etc/mysql/cert/server-key.pem?|  +---------------+---------------------------------+  9?rows?in?set?(0.01?sec)

有上面的輸出后, 表明此時 MySQL 服務已經使用 SSL 功能了.

接著下一步, 我們按照前面所提到的, 創建一個僅僅可以使用 SSL 登錄的帳號, 來檢驗我們的配置是否有效:

GRANT?ALL?PRIVILEGES?ON?*.*?TO?'ssl_test'@'%'?IDENTIFIED?BY?'ssl_test'?REQUIRE?SSL;    FLUSH?PRIVILEGES;[code]

上面的命令創建了一個帳號名為 ssl_test, 密碼為 ssl_test, 并且不限制登錄主機 ip 的帳號.

這些都配置成功后, 我們再啟動一個 MySQL 客戶端容器:

[code]docker?run?-it?--link?test_db:test_db?--rm?-v?/Users/xiongyongshun/temp/cert:/etc/mysql/cert?mysql?sh?-c?'exec?mysql?  --ssl-ca=/etc/mysql/cert/ca-cert.pem?--ssl-cert=/etc/mysql/cert/client-cert.pem?--ssl-key=/etc/mysql/cert/client-key.pem?-h?test_db?-u?ssl_test?-p'

從上面的這個命令中我們可以看到, 啟動 MySQL 客戶端容器時, 我們掛載了宿主機的 cert 目錄到容器內的 /etc/mysql/cert 目錄, 這樣在容器中就可以訪問到 SSL 私鑰和證書文件了. 接著我們在 MySQL 客戶端命令行中, 使用 –ssl-ca, –ssl-cert, –ssl-key 這三個參數來指定 SSL 連接所需要的 CA 證書, RSA 私鑰和客戶端證書.

登錄成功后, 我們執行 s 命令:

mysql>?s  --------------  mysql?Ver?14.14?Distrib?5.7.17,?for?Linux?(x86_64)?using?EditLine?wrapper    Connection?id:????5  Current?database:  Current?user:????ssl_test@172.17.0.5  SSL:??????Cipher?in?use?is?DHE-RSA-AES256-SHA  Current?pager:????stdout  Using?outfile:????''  Using?delimiter:??;  Server?version:????5.7.17?MySQL?Community?Server?(GPL)  Protocol?version:??10  Connection:????test_db?via?TCP/IP  Server?characterset:??latin1  Db???characterset:??latin1  Client?characterset:??latin1  Conn.?characterset:??latin1  TCP?port:????3306  Uptime:??????6?min?8?sec    Threads:?2?Questions:?10?Slow?queries:?0?Opens:?113?Flush?tables:?1?Open?tables:?106?Queries?per?second?avg:?0.027  --------------

輸出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 信息則說明我們確實是使用了 SSL 連接的 MySQL 服務器.

以上就是MySQL 使用 SSL 連接配置詳解的內容,更多相關內容請關注PHP中文網(www.php.cn)!

? 版權聲明
THE END
喜歡就支持一下吧
點贊9 分享