首先檢查是否通過顯示“％ssl％”（例如“％ssl％”）來啟用SSL；確保have_ssl是肯定的，並且ssl_ca，ssl_cert，ssl_key指向有效文件，然後使用狀態(tài)確認使用SSL。 2。生成SSL證書，使用MySQL的內(nèi)置自動生成進行測試（在my.cnf和Restart中啟用SSL），或使用OpenSSL創(chuàng)建自己的生產(chǎn)，包括CA，服務(wù)器證書和可選的客戶端證書。 3。通過指定[mySQLD]下的my.cnf中的ssl-ca，ssl-cert和ssl-key路徑來配置MySQL Server，確保mySQL已讀取對文件的讀取訪問，然後啟用服務(wù)並驗證SSL具有諸如'hass_ssl''hass_ssl''之類的show variables的活動， 4.設(shè)置用戶需要使用create用戶“ secure_user”@'％“密碼”確定的SSL要求SSL reque SSL；或使用requient x509，主題或發(fā)行人條款執(zhí)行客戶證書身份驗證。 5。通過添加-SSL-Mode =必需或通過-SSL-CA，-SSL-CERT，-SSL-key來連接客戶端，或提供證書文件；在應(yīng)用程序中，在PDO或MySQL-Connector-Python的連接字符串中配置SSL屬性。 6。使用\ status或顯示諸如'ssl_cipher'的狀態(tài)驗證SSL連接；要確認正在使用密碼，如果空，則SSL不活動。安全最佳實踐包括使用CHMOD 600保護私鑰，使用強密碼，旋轉(zhuǎn)證書，使用CA簽名的證書，並在生產(chǎn)中使用CA簽名的證書以及監(jiān)視錯誤的日誌。

為SSL/TLS連接配置MySQL可確保對客戶端和MySQL Server之間傳輸?shù)臄?shù)據(jù)進行加密，從而保護其免於竊聽和中間攻擊。這是正確設(shè)置它的方法。

1。檢查是否已經(jīng)啟用了SSL

進行更改之前，請檢查您當(dāng)前的SSL狀態(tài)：

顯示“％ssl％”之類的變量；

尋找：

• have_ssl ：應(yīng)該YES
• ssl_ca ， ssl_cert ， ssl_key ：應(yīng)指向有效的證書文件

還要檢查連接類型：

地位;

在“ SSL：”行下尋找“ SSL”。如果說“不使用”，SSL在您的會話中不活躍。

2。生成SSL證書（自簽名或CA簽名）

MySQL可以使用自簽名證書（用於內(nèi)部使用）或CA簽名證書（用於生產(chǎn)）。

選項A：使用MySQL的內(nèi)置自動生成（MySQL 5.7）

如果沒有提供並啟用SSL，則MySQL可以在啟動時自動生成SSL證書。

在您的mysql配置文件（ my.cnf或my.ini ）中啟用它：

 [mysqld]
SSL

在第一個啟動時，MySQL創(chuàng)建：

• ca.pem （證書授權(quán)）
• server-cert.pem ， server-key.pem
• client-cert.pem ， client-key.pem

這些通常在數(shù)據(jù)目錄中。

??注意：這些是自簽名的，僅適用於測試或內(nèi)部網(wǎng)絡(luò)。

選項B：使用OpenSSL生成自己的證書

用於更多控製或生產(chǎn)使用：

1. 創(chuàng)建證書授權(quán)（CA）：

 openssl genrsa 2048> ca-key.pem
openssl req -new -x509 -nodes -days 3650 -key ca -key.pem -out ca.pem

2. 生成服務(wù)器證書請求並簽署：

 OPENSSL REQ -NEWKEY RSA：2048 -DAYS 3650 -NODES -KEYOUT SERVER -KEY.PEM -OUT SERVER -REQ.PEM
openssl rsa -in server -key.pem -out server -key.pem
OpenSSL x509 -req -in Server -Req.pem -days 3650 -ca ca.pem -cakey ca -key.pem -set_serial 01 -out server -cert.pem

3. 生成客戶端證書（可選，用於共同TLS）：

 OPENSSL REQ -NEWKEY RSA：2048 -DAYS 3650 -NODES -KEYOUT CLIENT -KEY.PEM -OUT CLINE -REQ.PEM
openssl rsa -in client -key.pem -out client -key.pem
OpenSSL x509 -req -in Client -Req.pem -days 3650 -ca ca.pem -cakey ca -key.pem -set_serial 02 -out client -cert -cert.pem

4. 驗證證書：

 openssl驗證-Cafile ca.pem server-cert.pem client-cert.pem

3。為SSL配置MySQL Server

編輯您的MySQL配置文件（ /etc/mysql/my.cnf或/etc/my.cnf ）：

 [mysqld]
ssl-ca =/path/to/ca.pem
ssl-cert =/path/to/server-cert.pem
ssl-key =/path/to/server-key.pem

?？蛇x：需要所有連接的SSL
＃require_secure_transport = on

確保MySQL用戶已閱讀對這些文件的訪問。

重新啟動mysql：

 sudo systemctl重新啟動mysql

驗證SSL處於活動狀態(tài)：

顯示“ have_ssl”之類的變量；
 - 應(yīng)該返回是

4。為SSL配置MySQL用戶

您可以要求特定用戶通過SSL連接：

創(chuàng)建用戶'Secure_user'@'％' 
由“ strong_password”確定
需要SSL；

 - 或需要客戶證書（更強的安全性）
在db上授予全部。 
需要主題'/cn = client.example.com';

常見的選擇選項：

• SSL ：加密連接
• X509 ：任何有效的客戶證書
• ISSUER '...' ：必須由特定的CA發(fā)行
• SUBJECT '...' ：必須有特定的主題

5。使用SSL連接

來自MySQL客戶端：

 mysql -u secure_user -p -ssl -mode =必需

或帶有明確的證書：

 mysql -u secure_user -p \
  -ssl-ca = ca.pem \
  -ssl-cert = client-cert.pem \
  -ssl-key = client-key.pem

從應(yīng)用程序（例如，PHP，Python）：

在PDO的PHP中：

 $ pdo = new PDO（
    'mysql：host = localhost; dbname = test'，
    “ Secure_user”，
    '密碼'，
    [PDO :: mysql_attr_ssl_ca =>'/path/to/ca.pem']
）；

在Python中與mysql-connector-python ：

導(dǎo)入mysql.connector

conn = mysql.connector.connect（
    主機='localhost'，
    用戶='Secure_user'，
    密碼='密碼'，
    數(shù)據(jù)庫='test'，
    ssl_ca ='/path/to/ca.pem'，
    ssl_verify_cert = true
）

6。測試和驗證SSL連接

連接後：

 \地位
 - 尋找“ SSL：”行。應(yīng)該說“使用中的密碼：xxx”

或查詢：

顯示“ ssl_cipher”之類的狀態(tài)；
 - 如果使用SSL，應(yīng)返回密碼名稱

如果是空的，則SSL不活躍。

安全提示

• 保持私鑰（ *.key ）安全並限製文件權(quán)限（ chmod 600 ）。
• 使用強密碼（MySQL使用安全默認值）。
• 到期前旋轉(zhuǎn)證書。
• 在生產(chǎn)中，使用CA簽名的證書。
• 監(jiān)視與SSL相關(guān)錯誤的日誌。

基本上，在MySQL中啟用SSL涉及生成適當(dāng)?shù)淖C書，配置服務(wù)器以使用它們以及確?？蛻舳税踩剡B接。這並不復(fù)雜，但是關(guān)注文件路徑和權(quán)限至關(guān)重要。

以上是如何為SSL/TLS連接配置MySQL？的詳細內(nèi)容。更多資訊請關(guān)注PHP中文網(wǎng)其他相關(guān)文章！