配置MySQL支持ssl

一、查看MySQL是否支持ssl

登入MySQL，通过一下命令查看ssl是否开启。

mysql> show variables like "%ssl%";
+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |
| have_ssl      | DISABLED |
| ssl_ca        |          |
| ssl_capath    |          |
| ssl_cert      |          |
| ssl_cipher    |          |
| ssl_key       |          |
+---------------+----------+
7 rows in set (0.00 sec)
复制

| have_openssl | DISABLED |

| have_ssl | DISABLED |这两项表明MySQL没有启用ssl。

需要在配置文件my.cnf中[mysqld]添加ssl，然后重启MySQL，才能启用ssl。

二、创建ssl证书和密钥

2.1、确认安装OpenSSL

确认是否安装OpenSSL，需要通过openssl创建证书和密钥。

root@web:/etc/mysql# openssl version
OpenSSL 1.0.1f 6 Jan 2014
复制

上述结果表明已安装OpenSSL。

2.2、创建 CA 私钥和 CA 证书

1、创建一个目录用于存放证书及密钥文件

mkdir cert 

cd cert

2、然后, 我们先来生成一个 CA 私钥:

openssl genrsa 2048 > ca-key.pem

3、当有了一个 CA 私钥, 我们接下来就可以使用这个私钥生成一个新的数字证书:

openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

执行这个命令时, 会需要填写一些问题, 随便填写就可以了.

执行上述命令后, 我们就有了一个 CA 私钥和一个 CA 证书.

4、创建服务器端的 RSA 私钥和数字证书，接着, 我们需要创建服务器端的私钥和一个证书请求文件, 命令如下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

上面这个命令会生成一个新的私钥(server-key.pem), 同时会使用这个新私钥来生成一个证书请求文件(server-req.pem).

上面这个命令同样需要回答几个问题, 随便填写即可. 不过需要注意的是, A challenge password 这一项需要为空.

下一步, 我们需要将生成的私钥转换为 RSA 私钥文件格式:

openssl rsa -in server-key.pem -out server-key.pem

最后一步, 我们需要使用原先生成的 CA 证书来生成一个服务器端的数字证书:

openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

上面的命令会创建服务器端的数字证书文件.

5、创建客户端的 RSA 私钥和数字证书

和服务器端所执行的命令类似, 我们也需要为客户端生成一个私钥和证书请求文件, 命令如下, challenge password 留空:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem

同样地, 我们需要将生成的私钥转换为 RSA 私钥文件格式:

openssl rsa -in client-key.pem -out client-key.pem

最后, 我们也需要为客户端创建一个数字证书:

openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem

在前面的步骤中, 我们已经生成了8个文件, 分别是:

ca-cert.pem: CA 证书, 用于生成服务器端/客户端的数字证书.

ca-key.pem: CA 私钥, 用于生成服务器端/客户端的数字证书.

server-key.pem: 服务器端的 RSA 私钥

server-req.pem: 服务器端的证书请求文件, 用于生成服务器端的数字证书.

server-cert.pem: 服务器端的数字证书.

client-key.pem: 客户端的 RSA 私钥

client-req.pem: 客户端的证书请求文件, 用于生成客户端的数字证书.

client-cert.pem: 客户端的数字证书.

接下来我们就需要分别配置服务器端和客户端。

2.3、服务器端配置

服务器端需要用到三个文件, 分别是: CA 证书, 服务器端的 RSA 私钥, 服务器端的数字证书, 我们需要在 [mysqld] 配置域下添加如下内容:

ssl-ca=/etc/mysql/ca-cert.pem

ssl-cert=/etc/mysql/server-cert.pem

ssl-key=/etc/mysql/server-key.pem

当配置好后, 我们需要重启 MySQL 服务, 使能配置.

最后一步, 我们添加一个需要使用 SSL 才可以登录的帐号, 来验证一下我们所配置的 SSL 是否生效:

复制代码代码如下:

GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;
FLUSH PRIVILEGES;
复制

当配置好后, 使用 root 登录 MySQL, 执行 show variables like '%ssl%' 语句会有如下输出:

MariaDB [(none)]> show variables like '%ssl%'
    -> ;
+---------------+----------------------------+
| Variable_name | Value                      |
+---------------+----------------------------+
| have_openssl  | YES                        |
| have_ssl      | YES                        |
| ssl_ca        | /etc/mysql/ca-cert.pem     |
| ssl_capath    |                            |
| ssl_cert      | /etc/mysql/server-cert.pem |
| ssl_cipher    |                            |
| ssl_key       | /etc/mysql/server-key.pem  |
+---------------+----------------------------+
7 rows in set (0.00 sec)
复制

2.4、客户端配置

客户端配置相对简单一些. 首先我们需要拷贝 ca-cert.pem, client-cert.pem 和 client-key.pem 这三个文件到客户端主机中, 然后我们可以执行如下命令来使用 SSL 连接 MySQL 服务:

mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -h host_name -u ssl_test -p

除了上述的使用命令行方式配置 SSL 外, 我们也可以使用配置文件的方式. 即在 etc/my.cnf 文件中添加如下内容即可:

[client]
default-character-set=utf8
ssl-ca=/path/to/ca-cert.pem
ssl-cert=/path/to/client-cert.pem
ssl-key=/path/to/client-key.pem
复制

如果出现以下错误

ERROR 2026 (HY000): SSL connection error: SSL_CTX_set_default_verify_paths failed

表明ssl 认证文件无法被访问。把ca文件放到可被访问的目录即可。

如果出现以下错误

ERROR 2026 (HY000): SSL connection error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

可能 cert文件中Common Name字段server的证书和client的证书一致了，该字段不能一致, 在创建ca、server、client证书时，Common Name字段的值不要一样，容易导致上面的错误。

如果出现以下错误

ERROR 1045 (28000): Access denied for user 'ssl_test'@'10.35.8.182' (using password: YES)

则需要在连接时增加以下选项

--ssl-cipher=AES128-SHA

当连接成功后, 我们执行如下指令

MySQL [(none)]> status;
--------------
mysql  Ver 15.1 Distrib 5.5.68-MariaDB, for Linux (x86_64) using readline 5.1

Connection id:          77
Current database:
Current user:           kakaluote@119.29.70.151
SSL:                    Cipher in use is DHE-RSA-AES256-SHA
Current pager:          stdout
Using outfile:          ''
Using delimiter:        ;
Server:                 MySQL
Server version:         5.5.62-0ubuntu0.14.04.1-log (Ubuntu)
Protocol version:       10
Connection:             47.106.104.180 via TCP/IP
Server characterset:    latin1
Db     characterset:    latin1
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:               3306
Uptime:                 8 min 42 sec

Threads: 3  Questions: 235  Slow queries: 0  Opens: 742  Flush tables: 1  Open tables: 400  Queries per second avg: 0.450
--------------
复制