背景
这是一个生产问题引发的我对MySQL的SSL的认识,今年年初遇到一个mysql的问题,由于公司内业务系统升级关闭了mysql的SSL认证,导致mysqlWorkBench 和 程序无法正常连接到该MySQL数据库。虽然在知道原因之后来看好像很简单,但是排故过程其实非常困难,因为你不知道业务系统升级了做了什么操作。你的系统还需要连接它的数据库,虽然这样不规范,但是某些情况我们为了上线效率或其他商务原因,只有一定程度上容忍这种不规范。规范操作是原有系统提供接口我们调用该系统提供的接口即可,这样无论原系统如何变,只要接口满足之前的规范,第三方系统都不会被原系统升级而导致改变。(出了这次故障,进一步明白系统之间的交互应该严格遵守使用接口交互,不应直连数据库)扯远了,回到本次故障解决上面来
解决办法
其实由于MySQL服务默认安装是开启了SSL加密连接服务的,所以我们一般在数据库建立链接的时候默认 useSSL为true,所以很少有人会注意到这么小的一个配置它的意义,也许就是以前项目这么配置连接MySql,为了方便这次我也直接复制了之前的链接字符串,一开始还是成功链接,当你的程序上线一段时间,如果源系统升级改了MySQL的一些配置,就比如这次它关闭了SSL链接认证,立马你的程序就会出现连接数据库异常,解决办法其实很简单,如果 MySQL关闭SSL服务,那么在程序链接字符串需要加上 &userSSL=false
如果你使用的是MySQL的配置文件(比如my.cnf或my.ini),你可以添加或修改以下配置来关闭SSL:
[mysqld]
ssl = 0回想一下:
为什么MySQL要提供SSL链接呢?其实一般mysql都部署在内网,外网是无法直接访问的,我们还需要应用加密区链接mysql么?
普遍的做法,安装好数据库之后为该项目创建一个用户,并授予权限,然后我们在项目中直接使用用户名和密码直接连接mysql数据库,这样安全么?
好的情况,我们可以将这些敏感的配置信息进行加密存储,可问题是我们通常的加密其实是一个可逆的,密钥和密文都放在一起,程序在于Mysql建立连接的时候,还是需要先解密,然后密文传输到Mysql服务器上,建立数据库连接,其实也就是增加了破解密码的难度,通过代码不能一目了然的看大密码(虽然可以解密),但是将网络请求拦截下来,数据库建立的请求以及数据库查询和返回的内容都是明文传输的,存在着不安全。
Mysql怎么做的呢?
其实Mysql引入了类似于HTTPS一样的协议,就是SSL来解决传输加密,使用这一套机制可以保证Mysql在数据传输加密,内容不被篡改
SSL:表示mysql服务允许加密连接,这个参数在mysql8.0 是默认启用的,MySQL启动的时候自动生成SSL证书、密钥文件,以及RSA密钥对文件;或者使用mysql_ssl_rsa_setup生成
MySQL的SSL建立过程:
1.客户端发起 ssl 连接请求;
2.MySQL Server 发送数字证书 server-cert.pem 给客户端(server-cert.pem包含:服务器公钥、CA签名信息);
3.客户端使用CA 证书 ca.pem(由于这是 MySQL 自签名的CA证书,无法从操作系统的可信任区获取(压根不在这里边),所以事先必须在客户端本地保存 CA 证书文件中的 CA 公钥解密 server-cert.pem 中的签名,进行验证;
4.验证通过后,生成对称密钥,使用 server-cert.pem 中的公钥加密“对称密钥”,发送给 MySQL Server;
5.MySQL Server 使用自己保留的私钥 server-key.pem 解密,得到“对称密钥”;
6.接下来传输数据则使用“对称密钥”进加密和解密
扫一扫
1118
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
