MYSQL8安全之SSL认证

已于 2024-05-04 21:21:22 修改
阅读量6.8k 收藏 20
点赞数 4
分类专栏: 数据库 文章标签: ssl 安全 mysql
于 2023-04-26 17:05:50 首次发布
《署名-非商业性使用-禁止演绎 4.0 国际》许可协议 https://creativecommons.org/licenses/by-nc-nd/4.0/
本文链接:https://blog.csdn.net/omaidb/article/details/130390183
版权

MYSQL8安全之SSL认证

SSL概念

SSL(Secure Socket Layer: 安全套接字) 利用数据加密,身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议。
SSL协议提供的功能主要有:

  1. 数据传输的机密性;利用对称密钥算法对传输的数据进行加密
  2. 身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的
  3. 消息完整性验证:消息传输过程中使用MAC算法来校验消息的完整性。

如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的。

在数据库方面,客户端连接服务器使用SSL连接,能加密通信数据。

  1. 启用 SSL:可以在 MySQL 配置文件中启用 SSL,需要指定 SSL 证书、私钥和 CA 证书的路径。
  2. SSL 握手验证:MySQL 8 支持 SSL 握手验证,可以确保客户端连接到正确的服务器。
  3. SSL 客户端认证:MySQL 8 支持客户端证书认证,可以进一步增强安全性。
  4. SSL 连接限制:可以通过修改 MySQL 配置文件中的参数来限制 SSL 连接的最大数量和连接的最大并发数。

总的来说,MySQL 8 的 SSL 功能可以帮助用户更安全地管理数据库,提高数据安全性。


MYSQL实现SSL的流程

  1. 先为MYSQL服务器创建SSL证书和私钥
  2. 在MYQL里面配置SSL,并启动服务
  3. 创建用户的时候带上SSL标签(require ssl)
  4. 连接数据库的时候带上SSL

MYSQL配置SSl

  1. 手工配置:mysql5.7.6以下版本只能手工配置
  2. 自动配置:mysql5.7.6以上版本支持自动配置

0、SSL策略

--ssl-mode 是 MySQL 命令行客户端的一个选项,用于指定 SSL/TLS 连接的模式。

它有四个可能的值:

  • DISABLED禁用 SSL
  • REQUIRED必须使用 SSL
  • VERIFY_CA验证CA
  • VERIFY_IDENTITY验证身份

在连接到远程 MySQL 服务器时,需要保护敏感信息和数据的安全性,因此应使用 SSL 来加密通信。
而为了提供最高级别的信任和安全性,应将--ssl-mode 设置为REQUIRED(必须使用 SSL)
--ssl-mode REQUIRED(必须使用 SSL)MySQL8中最高安全级别,它要求客户端必须使用加密 SSL/TLS 连接到服务器,并验证服务器的身份。
--ssl-mode VERIFY_IDENTITY(验证身份) 不强制要求加密 SSL/TLS 连接,它仅检查并验证服务器证书,因此不如 --ssl-mode REQUIRED 安全
这意味着 MySQL 客户端将试图建立 SSL 连接,并且如果无法建立 SSL 连接,则不会连接到 MySQL 服务器,从而确保只有通过 SSL 连接才能访问数据库。

详细解释如下:

  • REQUIRED 要求所有 MySQL 客户端必须通过 TLS 密码套件建立与数据库服务器之间的连接,以提供最高级别信任和安全性。。

  • VERIFY_IDENTITY 选项要求 MySQL 客户端验证数据库服务器的身份,并持有与其授予一致的主机名或 IP 地址。但如果数据库服务器使用自签名证书,则可能会由于无法在公钥基础架构中下载到 CRL 和 OCSP 响应而交予妥协项,从而使校验变得不安全。

  • PREFERRED 标志允许客户端建议并尝试进行 SSL 连接,但不需要建立 SSL 连接。如果 MySQL 客户端请求未加密连接时,服务器会回答该请求。

  • VERIFY_CA 在服务器端上对客户端启用 SSL 协议,并确保 SSL 连接是在根证书颁发机构的颁发证书上建立的,而且客户端提供了匹配考验的专业证书,非常适合客户端软件的验信标准很高或者要求传输数据增强保护的情况。


1、创建证书

# 安装openssl依赖包
dnf install -y openssl

# 查看openssl版本
openssl version

image.png

# 生成SSL连接所需要的RSA密钥对
## datadir 指定数据库文件路径
## user和uid 指定运行mysql_ssl_rsa_setup命令的用户
mysql_ssl_rsa_setup --datadir=/var/lib/mysql --user=mysql --uid=mysql

# 默认执行即可
mysqld_ssl_rsa_setup

## -vvv 详细,debug模式

image.png
会自动在datadir目录下创建下面的证书文件

  • ca-key.pem:CA证书私钥文件,用于生成SSL连接所需的服务器和客户端证书。
  • ca.pem:CA证书公钥文件,用于验证SSL连接中服务器和客户端证书的合法性。
  • client-cert.pem:客户端证书,在SSL连接中用于验证客户端的身份。
  • client-key.pem:客户端证书的私钥,用于加密和解密SSL连接中客户端发送的数据。
  • private_key.pem:私钥文件,用于加密和解密SSL连接中的数据。
  • public_key.pem:公钥文件,用于验证SSL连接中的数据。
  • server_cert.pem:服务器证书,用于验证MySQL数据库服务器的身份。
  • server_key.pem:服务器证书的私钥,用于加密和解密SSL连接中服务器发送的数据。

2、配置SSL证书

https://blog.csdn.net/Sn_Keys/article/details/126425869

[mysqld]
# 指定CA证书公钥文件的路径
ssl-ca=/path/to/ca.pem
# 指定mysql服务器证书的路径
ssl-cert=/path/to/server_cert.pem
# 指定mysql服务器证书的私钥路径
ssl-key=/path/to/server_key.pem


[client]
# 指定CA证书公钥文件的路径
ssl-ca=/path/to/ca.pem
# 指定mysql客户端证书的路径
ssl-cert=/path/to/client_cert.pem
# 指定mysql客户端证书的私钥路径
ssl-key=/path/to/client_key.pem

重启mysql服务

# 重启mysql服务
systemctl restart mysqld

检查状态

-- 检查数据库是否启用SSL
show variables LIKE 'have_SSl';

image.png

-- 查看全局变量中包含"SSL"字符的所有变量名和值
show global variables LIKE '%SSL%';

-- 查看tls安全传输版本
show global variables LIKE 'tls_version';

MySQL5.7.35 开始,不推荐使用 TLSv1TLSv1.1 连接协议
image.png


3、配置SSL用户


创建用户普通认证方式

-- 创建用户
CREATE USER 用户名@'%' IDENTIFIED BY '表名';

-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';

-- 应用权限配置
FLUSH PRIVILEGES;

-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;

创建用户强制证书认证

REQUIRE SSL 强制要求客户端使用 SSL/TLS加密协议与服务器进行通信
REQUIRE X509强制要求客户端不仅要使用 SSL/TLS连接,而且还需要提供一个有效的 x509证书。在使用 REQUIRE X509 时,MySQL 服务器会验证客户端提供的证书是否是受信任的,并且该证书是否匹配已经注册的用户帐户中的证书

-- require ssl 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require ssl;

-- require x509 强制用户使用证书认证
CREATE USER 用户名@'%' IDENTIFIED BY '表名' require x509;

image.png

-- 给用户授权
GRANT ALL ON *.* TO 用户名@'%';

-- 应用权限配置
FLUSH PRIVILEGES;

-- 查看用户权限
SELECT user,host,ssl_type,ssl_cipher FROM mysql.user;

image.png


设置用户强制证书登录

-- 设置强制ssl
alter user user0001@'%' require ssl;

-- 取消强制ssl
alter user user0001@'%' require none;

4、SSL登录


SSL加密登录方法1;

# --ssl-mode=disable: 表示关闭SSL加密模式
mysql -uroot -p --ssl-mode=disable

# 登录mysql后查看加密模式
mysql> status;

image.png

# --ssl-mode=required: 表示强制开启SSL加密模式
mysql -uroot -p --ssl-mode=required

image.png

-- 登录mysql后查看加密模式
status;

image.png


SSL加密登录方法2:

image.png

# 指定CA证书及客户端证书及私钥
mysql -uroot -p --ssl-ca=/var/lib/mysql/ca.pem \
--ssl-cert=/var/lib/mysql/client-cert.pem \
--ssl-key=/var/lib/mysql/client-key.pem

image.png

识途老码
关注
  • 4
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
处理ssl连接MySQL问题方法
鱼的博客
08-10 3340
1. 检查当前SSL / TLS状态 我们将使用-h指定IPv4本地环回接口,以强制客户端与TCP连接,而不是使用本地套接字文件。 这将允许我们检查TCP连接的SSL状态: mysql -u root -p -h 127.0.0.1 键入以下内容以显示SSL / TLS变量的状态: SHOW VARIABLES LIKE '%ssl%'; Output +---------------+----------+ | Variable_name | Value | +---------
mysql sslmode_你的MySQL服务器开启SSL了吗?
weixin_39750195的博客
01-19 4938
最近,准备升级一组MySQL到5.7版本,在安装完MySQL5.7后,在其data目录下发现多了很多.pem类型的文件,然后通过查阅相关资料,才知这些文件是MySQL5.7使用SSL加密连接的。本篇主要介绍MySQL5.7 SSL连接加密功能、如何使用?以及使用SSL的一些注意点。我们知道,MySQL5.7之前版本,安全性做的并不够好,比如安装时生成的root空密码账号、存在任何用户都能连接上的t...
MySQL 8.0开启SSL.docx
07-08
MySQL 8.0开启SSL
MySQL JDBC连接串中sslMode含义、与useSSL、requireSSL的关系
最新发布
Oxye
05-31 1202
从Java连接MySQL的连接属性中获取sslMode的含义。
关于MySQL8.0数据库的SSL连接设置
lengyuqiu的博客
02-21 874
client-cert.pem # 客户端连接服务器端需要提供的证书文件。client-key.pem # 客户端连接服务器端需要提供的私钥文件。移除datadir目录下的ssl相关证书文件,数据库也可正常启动。private_key.pem # 私钥/公钥对的私有成员。public_key.pem # 私钥/公钥对的共有成员。ca.pem # 自签的CA证书,客户端连接也需要提供。server-cert.pem # 服务器端证书文件。server-key.pem # 服务器端私钥文件。
mysql开启ssl
sumengnan的博客
02-25 1万+
mysql的安装参考:https://blog.csdn.net/sumengnan/article/details/108736935 如何打开mysql ssl? 1、先检查mysql是否已经开启了ssl yes是已经打开了,如果是DISABLE则表示没有。 2、停止mysql service mysqld stop或ps + kill方式 3、执行mysql_ssl_rsa_setup安装 在mysql bin目录下有mysql_ssl_rsa_setup文件,执行它开始安装s.
Mysql使用SSL连接
热门推荐
weixin_44462773的博客
09-27 1万+
Mysql使用SSL连接1.描述2.安装 OpenSSL3. 使用 OpenSSL 创建 SSL 证书和私钥3.1 修改mysql 的my.ini配置文件3.2 创建 SSL 证书和私钥3.3 验证是否连接成功4. 添加信任证书到密钥库5.jdbc访问 1.描述   项目部署时要求对数据库进行加密连接,需要用到SSL连接,记录一下。  首先在 MySQL 上执行如下命令, 查询当前版本的mysql是否支持 SSL:         show variables like '%ssl%'; 当 have
使用SSL保护MySQL数据库连接
TeiGradient的博客
09-17 1039
本文提供了生成SSL证书和密钥的步骤,并展示了如何在应用程序中使用SSL连接MySQL数据库的示例代码。这将生成一个自签名的SSL证书(server-cert.pem)和相应的私钥(server-key.pem)。请注意,这是一个简单的自签名证书,如果您需要更高级的安全性,您应该考虑使用由受信任的证书颁发机构(CA)签名的证书。在上述代码中,我们通过在连接配置中指定SSL证书和密钥的路径来启用SSL连接。这将确保与MySQL服务器之间的通信是通过加密的SSL连接进行的。首先,我们需要生成SSL证书和密钥。
MySQL——ssl加密连接
qtishero的博客
11-17 1959
mysql服务器端启用强制SSL加密。
java实现-SSL双向认证1.docx
02-22
Java中的SSL双向认证是一种安全通信的方法,用于在网络中保护数据传输的安全性。它结合了SSL(Secure Sockets Layer)和TLS(Transport Layer Security)协议,这些协议提供了数据加密、服务器验证以及客户端验证等...
MySQL在网络安全学习中的位置
09-28
MySQL在网络安全学习中占据重要位置,它是最流行的关系型数据库管理系统,广泛应用于Web应用方面,是信息安全...同时,MySQL还支持SSL/TLS协议以及数据加密功能,可以保证数据库中的数据在传输和存储过程中的安全性。
mysql8和mysql5的连接驱动jar包
03-30
MySQL是世界上最受欢迎的开源关系型数据库管理系统之一,其在各个版本间不断进行更新与优化以满足不断变化的用户需求。本篇文章将详细讨论MySQL8与MySQL5在连接驱动jar包方面的差异,以及如何使用这些驱动来连接Java...
MySQL 5.7 学习心得之安全相关特性
01-19
5.7版本的用户表mysql.user要求plugin字段非空,且默认值是mysql_native_password认证插件,并且不再支持mysql_old_password认证插件。5.7用户长度最大为32字节,之前最大长度为16字节,并且CREATE USER 和 DROP ...
mysql8.0.32安装所需包
05-25
- `mysql-community-client-plugins-8.0.32-1.el7.x86_64.rpm`: 包含连接器和其他客户端插件,如 SSL 支持、认证插件等。 - `mysql-community-icu-data-files-8.0.32-1.el7.x86_64.rpm`: 国际化 (i18n) 数据文件...
java mysql开启ssl_MySQL8开启ssl加密
weixin_39797393的博客
01-19 291
1 概述MySQL从5.7开始默认开启SSL加密功能,进入MySQL控制台后输入status可以查看ssl的状态,出现下图表示在使用ssl: 另外,ssl加密需要密钥与证书,可以使用openssl手动生成或使用mysql_ssl_rsa_setup自动生成,这里使用了mysql_ssl_rsa_setup.下面从安装开始.2 安装(可选)系统CentOS,直接使用yum安装(编译安装可以看这里),...
MySQL运维实战(2.4) SSL认证MySQL中的应用
01-05 1422
作者:俊达。
MySQL配置SSL访问-配置 MySQL 使用加密连接
huryer的专栏
11-15 1万+
配置 MySQL 使用加密连接 通过 MySQL 客户端和服务器之间的未加密连接,可以访问网络的人可以监视您的所有流量并检查客户端和服务器之间发送或接收的数据。 当您必须以安全的方式通过网络移动信息时,未加密的连接是不可接受的。要使任何类型的数据不可读,请使用加密。加密算法必须包含安全元素以抵御多种已知攻击,例如更改加密消息的顺序或重放数据两次。 MySQL 使用 TLS(传输层安全)协议支持客户端和服务器之间的加密连接。TLS 有时被称为 SSL安全套接字层),但 MySQL 实际上并不使用 SSL
mysql数据库认证证书
07-13
MySQL数据库可以使用SSL证书进行认证,以确保安全的连接和数据传输。要配置MySQL SSL认证,您需要完成以下步骤: 1. 生成SSL证书和私钥:使用OpenSSL工具生成SSL证书和私钥文件。您可以使用以下命令生成自签名的证书和私钥文件: ``` openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout server-key.pem -out server-cert.pem ``` 这将生成一个有效期为365天的自签名SSL证书(server-cert.pem)和私钥文件(server-key.pem)。 2. 配置MySQL服务器:将生成的证书和私钥文件复制到MySQL服务器上的安全目录中。默认情况下,该目录为`/etc/mysql/ssl/`。您可以将证书和私钥文件复制到此目录,并确保MySQL用户对文件具有读取权限。 3. 修改MySQL配置文件:编辑MySQL服务器的配置文件(通常为`my.cnf`或`my.ini`),添加以下配置项: ``` [mysqld] ssl-ca=/etc/mysql/ssl/server-cert.pem ssl-cert=/etc/mysql/ssl/server-cert.pem ssl-key=/etc/mysql/ssl/server-key.pem ``` 这些配置项告诉MySQL服务器使用指定的证书和私钥文件进行SSL认证。 4. 重启MySQL服务器:保存配置文件并重新启动MySQL服务器,以使更改生效。 ``` sudo systemctl restart mysql ``` 5. 验证SSL连接:使用MySQL客户端连接到MySQL服务器,并启用SSL连接: ``` mysql -u <username> -p --ssl-ca=/etc/mysql/ssl/server-cert.pem --ssl-cert=/etc/mysql/ssl/server-cert.pem --ssl-key=/etc/mysql/ssl/server-key.pem ``` 替换`<username>`为您的MySQL用户名。在连接时,使用`--ssl-ca`,`--ssl-cert`和`--ssl-key`参数指定SSL证书和私钥文件的路径。 连接成功后,您将建立一个通过SSL加密的安全连接。 请注意,这只是一个基本的SSL认证配置示例。在实际部署中,您可能还需要考虑其他安全因素,如SSL证书的签名机构和有效期等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

识途老码

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值