MySQL5.7之SSL/TLS加密连接配置

最新推荐文章于 2024-05-16 15:39:20 发布
最新推荐文章于 2024-05-16 15:39:20 发布
阅读量5.6k 收藏 5
点赞数
分类专栏: MySQL-5.7 文章标签: mysql 数据库 tls-version TLSv1.2 安全策略
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sn_Keys/article/details/126425869
版权

运维必知的安全内容之TLS协议,如何选择合适的连接MySQL的TLS版本,本文将给出参考。

目录

1、连接MySQL服务器:使用加密选项

2、查看MySQL支持的TLS协议版本

3、变量tls_version使用说明

4、启用SSL协议连接

5、总结

环境:

  • CentOS-7.9.2009-x86_64

1、连接MySQL服务器:使用加密选项

这些选项控制客户端程序如何建立与MySQL服务器的连接以及连接是否加密。

名称描述引入版本
--get-server-public-key

Request RSA public key from server

译:从服务器请求 RSA 公钥

5.7.23
--server-public-key-path

Path name to file containing RSA public key

译:包含 RSA 公钥的文件的路径名

--skip-ssl

Disable connection encryption

译:禁用连接加密

--ssl

Enable connection encryption

译:启用连接加密

--ssl-ca

File that contains list of trusted SSL Certificate Authorities

译:包含受信任 SSL 证书颁发机构列表的文件

--ssl-capath

Directory that contains trusted SSL Certificate Authority certificate files

译:包含受信任的 SSL 证书颁发机构证书文件的目录

--ssl-certFile that contains X.509 certificate

译:包含 X.509 证书的文件

--ssl-cipher

Permissible ciphers for connection encryption

译:连接加密的允许密码

--ssl-crl

File that contains certificate revocation lists

译:包含证书吊销列表的文件

--ssl-crlpath

Directory that contains certificate revocation-list files

译:包含证书吊销列表文件的目录

--ssl-key

File that contains X.509 key

译:包含 X.509 密钥的文件

--ssl-mode

Desired security state of connection to server

译:连接到服务器的所需安全状态

5.7.11
--ssl-verify-server-cert

Verify host name against server certificate Common Name identity

译:根据服务器证书公用名身份验证主机名

--tls-version

Permissible TLS protocols for encrypted connections

译:加密连接的允许 TLS 协议

5.7.10

MySQL 5.7 Reference Manual :: 4.2.3 连接服务器命令行选项https://dev.mysql.com/doc/refman/5.7/en/connection-options.html#option_general_tls-version

从 MySQL 5.7.11 开始不推荐 客户端使用 --ssl 选项,并且 --ssl 在 MySQL 8.0 中删除。对于 客户端程序 请改用 --ssl-mode:  

不推荐服务器端使用 --ssl 选项。

2、查看MySQL支持的TLS协议版本

  • 在 MySQL 5.7.28 之前,可以使用 yaSSL 作为 OpenSSL 的替代方案来编译 MySQL。
  • 从 MySQL 5.7.28 开始,删除了对 yaSSL 的支持,所有 MySQL 构建都使用 OpenSSL。
mysql> SHOW GLOBAL VARIABLES LIKE 'tls_version';
+---------------+-----------------------+
| Variable_name | Value                 |
+---------------+-----------------------+
| tls_version   | TLSv1,TLSv1.1,TLSv1.2 |
+---------------+-----------------------+

在《/etc/my.cnf》文件中的 mysqld区域,添加 tls_version参数及赋值。

[mysqld]
# 从 MySQL 5.7.35 开始,不推荐使用 TLSv1 和 TLSv1.1 连接协议
tls_version=TLSv1.1,TLSv1.2

建议使用更安全的 TLSv1.2 和 TLSv1.3 协议进行连接,TLSv1.3 要求 MySQL 服务器和客户端应用程序都使用 OpenSSL 1.1.1 或更高版本进行编译。

注意:从 MySQL 5.7.35 开始,不推荐使用 TLSv1 和 TLSv1.1 连接协议,并且对它们的支持可能会在未来的 MySQL 版本中被删除(请参阅 IETF 备忘录 Deprecating TLSv1.0 and TLSv1.1)。

MySQL 5.7 Reference Manual :: 6.3.2 加密连接 TLS 协议和密码https://dev.mysql.com/doc/refman/5.7/en/encrypted-connection-protocols-ciphers.html

3、变量tls_version使用说明

系统变量tls_version指定服务器允许哪些协议用于加密连接。

是一个逗号分隔的列表,可以包含一个或多个协议版本。

命令行格式--tls-version=protocol_list
引入版本5.7.10
系统变量tls_version
范围Global
动态No
类型String
MySQL版本 ≥ 5.7.28 的默认值TLSv1,TLSv1.1,TLSv1.2
MySQL版本 ≤ 5.7.27 的默认值

TLSv1,TLSv1.1,TLSv1.2(OpenSSL)

TLSv1,TLSv1.1(yaSSL)

MySQL 5.7 Reference Manual :: 5.1.7 服务器系统变量https://dev.mysql.com/doc/refman/5.7/en/server-system-variables.html#sysvar_tls_version

注意:此变量名支持的协议,取决于用于编译 MySQL 的 SSL 库,赋值时应选择允许的协议。有关详细信息,请参阅 第 6.3.2 节,“加密连接 TLS 协议和密码”

4、启用SSL协议连接

请参考以下博文 1.3 章节

MySQL数据库的安全策略-CSDN博客mysql 安全策略https://blog.csdn.net/q908544703/article/details/126034119

5、总结

启用TLS加密连接,对访问MySQL数据库的速度有一定的影响,请结合实例部署场景,决定是否启用。建议对核心数据库配置启用TLS连接。

狂龙骄子
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
MySQL 8.0开启SSL.docx
07-08
MySQL 8.0 开启 SSL 加密连接 ...开启 MySQL 8.0 的 SSL 加密连接需要完成生成证书和密钥、配置 MySQL、重启 MySQL 和验证连接四个步骤。通过这些步骤,我们可以确保 MySQL 数据库的安全性和数据传输的安全性。
mysql5.7 ssl_MySQL5.7 开启SSL
weixin_39542889的博客
01-19 167
MySQL5.7配置SSL加密的方式比较简单。生成证书文件[root@ ~]# bin/mysql_ssl_rsa_setup --datadir=/data/database/mysql[root@ ~]# chown mysql:mysql /data/database/mysql -R[root@ ~]# ll /data/database/mysql -rt.....-rw------- ...
MySQL安全性:用户认证、防范SQL注入和SSL/TLS配置详解
智者千虑,必有一失;愚者千虑,必有一得。
11-21 1197
MySQL安全性:用户认证、防范SQL注入和SSL/TLS配置详解
MySQL精通之路】MySQL8.0新增功能-重用SSL会话
最新发布
Anakki的博客
05-16 952
除了mysqlmysqlshow,SSL会话重用还适用于mysqladmin、mysqlbinlog、mysqlcheck、mysqldump、mysqlimport、mysqlpump、mysqlslap、mysqltest、mysql_migrate_keyring、mysql_secure_installation和mysql_upgrade。通过从已建立的会话中提取会话票证,然后在建立下一个连接时提交该票证,如果可以重用会话,则可以降低总体成本。,但该会话无法重用,则默认情况下会返回一个错误。
Mysql加密连接
cangck_x的博客
11-25 4806
通过MySQL客户端和服务器之间的未加密连接,有权访问网络的人可以监视您的所有流量并检查客户端和服务器之间发送或接收的数据。 当您必须以安全的方式通过网络移动信息时,未加密连接是不可接受的。要使任何类型的数据不可读,请使用加密加密算法必须包含安全元素,以抵御多种已知攻击,例如更改加密消息的顺序或重放数据两次。 MySQL支持使用TLS(传输层安全性)协议在客户端和服务器之间建立加密连接。TL...
技术分享 | MySQL : SSL 连接浅析
ActionTech的博客
03-09 4232
作者:胡呈清 爱可生 DBA 团队成员,擅长故障分析、性能优化,个人博客:https://www.jianshu.com/u/a95ec11f67a8,欢迎讨论。 本文来源:原创投稿 *爱可生开源社区出品,原创内容未经授权不得随意使用,转载请联系小编并注明来源。 TLS or SSL ? SSL(Secure Socket Layer 安全套接层)是基于 HTTPS 下的一个协议加密层,最初是由网景公司(Netscape)研发,后被 IETF(The Internet Engineering Task.
Mysql 开启ssl连接
Bertram的博客
09-20 1028
Mysql 开启ssl连接
多种不同的 MySQLSSL 配置浅谈
hdxx2022的博客
08-25 552
有一些细微的协议支持差别,比如:MySQL 只支持 TLS v1.0,默认不支持主机名验证,所以你的证书可能是给db1.example.com的,也可能是给db2.example的,浏览器则可能会用OCSP、CRL's 或 CRLsets 来验证证书是否有效。MySQL 只支持 TLS v1.0,默认不支持主机名验证,所以你的证书可能是给db1.example.com的,也可能是给db2.example的,浏览器则可能会用OCSP、CRL's 或 CRLsets 来验证证书是否有效。这就是他们最大的不同。
Mysql5.7开启SSL并且支持Springboot客户端验证
weixin_42911645的博客
09-30 3937
--ssl:表示 MySQL 服务端允许加密连接,这个启动参数MySQL5.7默认启用 系统变量: require_secure_transport:指定是否要求客户端使用加密连接。默认值为 OFF,如果 ON,则表示客户端必须
mysql tls_mysql8 参考手册--加密连接TLS协议和密码
weixin_30764401的博客
01-19 2829
支持的连接TLS协议MySQL支持使用TLSv1TLSv1.1,TLSv1.2和TLSv1.3协议的加密连接,这些协议按从低到高的顺序列出。实际允许连接的协议集受多种因素影响:MySQL配置。可以在服务器端和客户端上都配置允许的TLS协议,以仅包括支持的TLS协议的子集。双方的配置必须至少包含一个共同的协议,否则连接尝试无法协商要使用的协议。有关详细信息,请参见 连接TLS协议协商。系统范围的主...
安装 | MySQL
weixin_41709724的博客
03-11 618
MSQL安装部署
mysql5.7.17资源安装包
11-09
使用SSL加密MySQL连接,可以大大提高数据库的安全性。 新的密码安全策略,禁止使用一些常见的、易猜测的密码。 增加了更多的审计和监控功能,方便企业更好地监督数据库的安全情况。 MySQL 5.7.17不仅拥有更好的...
mysql-5.7.19源码包
08-09
安全性:MySQL 5.7.19 提供了更多的安全功能,包括密码策略、SSL/TLS 加密和访问控制等,保护数据库免受恶意攻击。 扩展性:MySQL 5.7.19 支持水平和垂直扩展,可以轻松应对不断增长的数据量和并发访问需求。 MySQL ...
基于ssm+mysql的校园二手交易系统(源码+论文)
07-18
安全可靠的交易环境:系统采用SSL/TLS加密技术保障数据传输安全,同时提供完善的支付和退款机制,确保交易过程顺利进行。 丰富的商品信息展示:用户可以上传详细的商品描述、图片以及视频,让买家充分了解商品的实际...
信息安全技术基础:安装配置MySQL数据库.pptx
11-01
配置过程中,确保所有服务之间的通信安全,例如使用SSL/TLS加密连接,以及定期更新所有组件的补丁,以防止已知的安全漏洞。此外,备份策略也是信息安全的一部分,定期备份数据库以防止数据丢失是最佳实践。 总的...
警告:Establishing SSL connection without server's identity verification is not recommended
qq_40748996的博客
10-11 373
解决方法 那问题来了,SSL是什么? SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。 SSL协议提供的功能主要有: 1、 数据传输的机密性:利用对称密钥算法对传输的数据进行加密。 2.、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户...
MySQL运维实战(2.4) SSL认证在MySQL中的应用
01-05 1385
作者:俊达。
MYSQL SSL配置与使用
w1213096890的博客
04-23 9643
mysql5.6只支持TLS1.0 mysql5.7支持TLS1.1 1.登录后使用此命令查看是否开启ssl SHOW VARIABLES LIKE ‘%ssl%’; 2.若未开启,制作证书,修改/etc/my.cnf文件,在mysqld标签下添加: ssl-ca=/root/ca/ca.pem ssl-cert=/root/ca/server.pem ssl-key=/root/ca/key.p...
netty ssl/tls加密
08-23
Netty是一款高性能的网络应用框架,支持SSL/TLS加密来保护网络通信的安全性。SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是网络通信中广泛使用的加密协议,用于在客户端和服务器之间建立安全的通信信道。 Netty提供了一些组件和类来实现SSL/TLS加密。首先,我们需要使用javax.net.ssl包中的类来创建SSLContext对象。SSLContext是SSL/TLS协议的入口点,它包含用于加密和解密数据的加密算法和密钥。我们需要为SSLContext对象配置密钥库和信任库,密钥库用于存储证书和私钥,而信任库用于存储可信的证书。 接下来,我们需要创建SslHandler对象,将其添加到Netty的ChannelPipeline中。SslHandler作为一个ChannelHandler,负责处理SSL/TLS握手过程和数据的加密解密。当建立连接时,SslHandler会自动执行握手过程,包括协商加密算法、验证证书以及生成会话密钥等。 一旦握手完成,SslHandler会将数据加密后发送到网络,并将接收到的密文解密成明文。这样可以确保在网络传输过程中的数据保密性和完整性。此外,SslHandler还提供了一些方法来获取会话信息,如远程主机的证书和协商的加密算法。 使用Netty的SSL/TLS加密功能能够有效地提高网络通信的安全性。通过配置SSLContext和添加SslHandler,我们可以方便地实现对网络通信的加密和解密。无论是在客户端还是服务器端,都可以使用Netty的SSL/TLS加密功能来保护数据的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

狂龙骄子

独码乐,不如众码乐,乐享其中

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值