欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

MySQL 使用 SSL 连接配置详解

程序员文章站 2023-12-16 19:21:46
查看是否支持 ssl 首先在 mysql 上执行如下命令, 查询是否 mysql 支持 ssl: mysql> show variables like...

查看是否支持 ssl

首先在 mysql 上执行如下命令, 查询是否 mysql 支持 ssl:

mysql> show variables like 'have_ssl';
+---------------+-------+
| variable_name | value |
+---------------+-------+
| have_ssl   | yes  |
+---------------+-------+
1 row in set (0.02 sec)

当 have_ssl 为 yes 时, 表示此时 mysql 服务已经支持 ssl 了. 如果是 desable, 则需要在启动 mysql 服务时, 使能 ssl 功能.

使用 openssl 创建 ssl 证书和私钥

首先我们需要使用 openssl 来创建服务器端的证书和私钥. 我使用的 openssl 版本为:

>>> /usr/local/cellar/openssl/1.0.2j/bin/openssl version
openssl 1.0.2j 26 sep 2016

新建一个 ~/temp/cert 目录, 用于存放生成的证书和私钥

mkdir ~/temp/cert
cd ~/temp/cert

创建 ca 私钥和 ca 证书

然后, 我们先来生成一个 ca 私钥:

openssl genrsa 2048 > ca-key.pem

当有了一个 ca 私钥, 我们接下来就可以使用这个私钥生成一个新的数字证书:

openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

执行这个命令时, 会需要填写一些问题, 随便填写就可以了. 例如:

>>> openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

you are about to be asked to enter information that will be incorporated
into your certificate request.
what you are about to enter is what is called a distinguished name or a dn.
there are quite a few fields but you can leave some blank
for some fields there will be a default value,
if you enter '.', the field will be left blank.
-----
country name (2 letter code) [au]:cn
state or province name (full name) [some-state]:beijing
locality name (eg, city) []:beijing
organization name (eg, company) [internet widgits pty ltd]:xys
organizational unit name (eg, section) []:xys
common name (e.g. server fqdn or your name) []:xys
email address []:yongshun1228@gmail.com

执行上述命令后, 我们就有了一个 ca 私钥和一个 ca 证书.

创建服务器端的 rsa 私钥和数字证书

接着, 我们需要创建服务器端的私钥和一个证书请求文件, 命令如下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

上面这个命令会生成一个新的私钥(server-key.pem), 同时会使用这个新私钥来生成一个证书请求文件(server-req.pem).
上面这个命令同样需要回答几个问题, 随便填写即可. 不过需要注意的是, a challenge password 这一项需要为空.
即:

>>> openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

generating a 2048 bit rsa private key
.................+++
..+++
writing new private key to 'server-key.pem'
-----
you are about to be asked to enter information that will be incorporated
into your certificate request.
what you are about to enter is what is called a distinguished name or a dn.
there are quite a few fields but you can leave some blank
for some fields there will be a default value,
if you enter '.', the field will be left blank.
-----
country name (2 letter code) [au]:cn
state or province name (full name) [some-state]:beijing
locality name (eg, city) []:beijing
organization name (eg, company) [internet widgits pty ltd]:xys
organizational unit name (eg, section) []:xys
common name (e.g. server fqdn or your name) []:xys
email address []:yongshun1228@gmail.com

please enter the following 'extra' attributes
to be sent with your certificate request
a challenge password []:
an optional company name []:

下一步, 我们需要将生成的私钥转换为 rsa 私钥文件格式:

openssl rsa -in server-key.pem -out server-key.pem

最后一步, 我们需要使用原先生成的 ca 证书来生成一个服务器端的数字证书:

openssl x509 -sha1 -req -in server-req.pem -days 3650 -ca ca-cert.pem -cakey ca-key.pem -set_serial 01 > server-cert.pem

上面的命令会创建以服务器端的数字证书文件.

创建客户端的 rsa 私钥和数字证书

和服务器端所执行的命令类似, 我们也需要为客户端生成一个私钥和证书请求文件, 命令如下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem

同样地, 我们需要将生成的私钥转换为 rsa 私钥文件格式:

openssl rsa -in client-key.pem -out client-key.pem

最后, 我们也需要为客户端创建一个数字证书:

openssl x509 -sha1 -req -in client-req.pem -days 3650 -ca ca-cert.pem -cakey ca-key.pem -set_serial 01 > client-cert.pem

使用工具创建证书与私钥

前面我们介绍了如何使用 openssl 来创建 ssl 连接的私钥和证书文件, 现在我们来看一个更简单的方法.
在 mysql 5.7 中, 提供了一个名为 mysql_ssl_rsa_setup 的工具, 通过它, 我们可以很方便地创建 ssl 连接所需要的各种文件:

mkdir ~/temp/cert
cd ~/temp/cert
mysql_ssl_rsa_setup --datadir ./

上面的命令中, --datadir 表示生成的文件的目录.

当执行了上述命令后, 也会生成八个文件:

ca-key.pem
ca.pem
client-cert.pem
client-key.pem
private_key.pem
public_key.pem
server-cert.pem
server-key.pem

这些文件和我们使用 openssl 所创建的那八个文件的作用是一样的, 这里就不再详述了.

ssl 配置

在前面的步骤中, 我们已经生成了8个文件, 分别是:

ca-cert.pem: ca 证书, 用于生成服务器端/客户端的数字证书.
ca-key.pem: ca 私钥, 用于生成服务器端/客户端的数字证书.
server-key.pem: 服务器端的 rsa 私钥
server-req.pem: 服务器端的证书请求文件, 用于生成服务器端的数字证书.
server-cert.pem: 服务器端的数字证书.
client-key.pem: 客户端的 rsa 私钥
client-req.pem: 客户端的证书请求文件, 用于生成客户端的数字证书.
client-cert.pem: 客户端的数字证书.

接下来我们就需要分别配置服务器端和客户端.

服务器端配置

服务器端需要用到三个文件, 分别是: ca 证书, 服务器端的 rsa 私钥, 服务器端的数字证书, 我们需要在 [mysqld] 配置域下添加如下内容:

[mysqld]
ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem

接着我们还可以更改 bind-address, 使 mysql 服务可以接收来自所有 ip 地址的客户端, 即:

bind-address = *

当配置好后, 我们需要重启 mysql 服务, 使能配置.

最后一步, 我们添加一个需要使用 ssl 才可以登录的帐号, 来验证一下我们所配置的 ssl 是否生效:

复制代码 代码如下:
grant all privileges on *.* to identified by 'ssl_test' require ssl;
flush privileges;

当配置好后, 使用 root 登录 mysql, 执行 show variables like '%ssl%' 语句会有如下输出:

mysql> show variables like '%ssl%';
+---------------+-----------------+
| variable_name | value      |
+---------------+-----------------+
| have_openssl | yes       |
| have_ssl   | yes       |
| ssl_ca    | ca.pem     |
| ssl_capath  |         |
| ssl_cert   | server-cert.pem |
| ssl_cipher  |         |
| ssl_crl    |         |
| ssl_crlpath  |         |
| ssl_key    | server-key.pem |
+---------------+-----------------+
9 rows in set (0.01 sec)

客户端配置

客户端配置相对简单一些. 首先我们需要拷贝 ca-cert.pem, client-cert.pem 和 client-key.pem 这三个文件到客户端主机中, 然后我们可以执行如下命令来使用 ssl 连接 mysql 服务:

mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -h host_name -u ssl_test -p
除了上述的使用命令行方式配置 ssl 外, 我们也可以使用配置文件的方式. 即在 ~/.my.cnf 文件中添加如下内容即可:

[client]
ssl-ca=/path/to/ca-cert.pem
ssl-cert=/path/to/client-cert.pem
ssl-key=/path/to/client-key.pem

当连接成功后, 我们执行如下指令

mysql> \s
--------------
mysql ver 14.14 distrib 5.7.17, for linux (x86_64) using editline wrapper

connection id:    14
current database:
current user:    ssl_test@172.17.0.4
ssl:      cipher in use is dhe-rsa-aes256-sha
current pager:    stdout
using outfile:    ''
using delimiter:  ;
server version:    5.7.17 mysql community server (gpl)
protocol version:  10
connection:    test_db via tcp/ip
server characterset:  latin1
db   characterset:  latin1
client characterset:  latin1
conn. characterset:  latin1
tcp port:    3306
uptime:      1 hour 2 min 9 sec

threads: 1 questions: 23 slow queries: 0 opens: 126 flush tables: 3 open tables: 0 queries per second avg: 0.006
--------------

如果输出中有 ssl: cipher in use is dhe-rsa-aes256-sha 之类的信息, 则表示已经使用 ssl 来连接了.

在 docker 中使能 mysql ssl 连接

上面我们简单介绍了一下如果使能 mysql ssl 连接, 那么现在我们使用 docker 来具体的实战一把吧!

首先拉取最新的 mysql 镜像:

docker pull mysql

然后需要准备一下挂载到 docker 容器的目录结构:

>>> cd ~/temp
>>> tree
.
├── cert
│  ├── ca-key.pem
│  ├── ca.pem
│  ├── client-cert.pem
│  ├── client-key.pem
│  ├── private_key.pem
│  ├── public_key.pem
│  ├── server-cert.pem
│  └── server-key.pem
├── config
│  └── my.cnf
└── db

3 directories, 9 files

在 temp 目录下有三个子目录:

cert 目录用于存放我们先前生成的证书和私钥信息;
config 目录用于存放 mysql 服务的配置文件
db 目录是用于存放 mysql 的数据.

下一步我们需要使用如下命令启动 mysql 容器:

复制代码 代码如下:
docker run --rm --name test_db -p 10000:3306 -e mysql_root_password=root -v /users/xiongyongshun/temp/db:/var/lib/mysql -v /users/xiongyongshun/temp/config:/etc/mysql/conf.d -v /users/xiongyongshun/temp/cert:/etc/mysql/cert mysql:latest

我们在上面的命令中, 我们分别挂载了 cert, config, db 这三个宿主机上的目录到 mysql 容器中.

启动了 mysql 服务后, 可以先使用 root 帐号登录 mysql, 来检查 mysql 服务此时是否已经开启了 ssl 功能:

docker run -it --link test_db:test_db --rm mysql sh -c 'exec mysql -u root -p -h test_db'

登录成功后, 我们在 mysql 中执行如下指令:

mysql> show variables like '%ssl%';
+---------------+---------------------------------+
| variable_name | value              |
+---------------+---------------------------------+
| have_openssl | yes               |
| have_ssl   | yes               |
| ssl_ca    | /etc/mysql/cert/ca-cert.pem   |
| ssl_capath  |                 |
| ssl_cert   | /etc/mysql/cert/server-cert.pem |
| ssl_cipher  |                 |
| ssl_crl    |                 |
| ssl_crlpath  |                 |
| ssl_key    | /etc/mysql/cert/server-key.pem |
+---------------+---------------------------------+
9 rows in set (0.01 sec)

有上面的输出后, 表明此时 mysql 服务已经使用 ssl 功能了.

接着下一步, 我们按照前面所提到的, 创建一个仅仅可以使用 ssl 登录的帐号, 来检验我们的配置是否有效:

复制代码 代码如下:
grant all privileges on *.* to identified by 'ssl_test' require ssl;
flush privileges;[code]

上面的命令创建了一个帐号名为 ssl_test, 密码为 ssl_test, 并且不限制登录主机 ip 的帐号.

这些都配置成功后, 我们再启动一个 mysql 客户端容器:

[code]docker run -it --link test_db:test_db --rm -v /users/xiongyongshun/temp/cert:/etc/mysql/cert mysql sh -c 'exec mysql --ssl-ca=/etc/mysql/cert/ca-cert.pem --ssl-cert=/etc/mysql/cert/client-cert.pem --ssl-key=/etc/mysql/cert/client-key.pem -h test_db -u ssl_test -p'


从上面的这个命令中我们可以看到, 启动 mysql 客户端容器时, 我们挂载了宿主机的 cert 目录到容器内的 /etc/mysql/cert 目录, 这样在容器中就可以访问到 ssl 私钥和证书文件了. 接着我们在 mysql 客户端命令行中, 使用 --ssl-ca, --ssl-cert, --ssl-key 这三个参数来指定 ssl 连接所需要的 ca 证书, rsa 私钥和客户端证书.

登录成功后, 我们执行 s 命令:

mysql> \s
--------------
mysql ver 14.14 distrib 5.7.17, for linux (x86_64) using editline wrapper

connection id:    5
current database:
current user:    ssl_test@172.17.0.5
ssl:      cipher in use is dhe-rsa-aes256-sha
current pager:    stdout
using outfile:    ''
using delimiter:  ;
server version:    5.7.17 mysql community server (gpl)
protocol version:  10
connection:    test_db via tcp/ip
server characterset:  latin1
db   characterset:  latin1
client characterset:  latin1
conn. characterset:  latin1
tcp port:    3306
uptime:      6 min 8 sec

threads: 2 questions: 10 slow queries: 0 opens: 113 flush tables: 1 open tables: 106 queries per second avg: 0.027
--------------

输出中有 ssl: cipher in use is dhe-rsa-aes256-sha 信息则说明我们确实是使用了 ssl 连接的 mysql 服务器.

上一篇:

下一篇: