mariadb自签证书启用TLS加密连接 —— 筑梦之路

于 2024-07-30 16:59:55 发布
阅读量55 收藏
点赞数 1
分类专栏: 数据库技术 文章标签: mariadb 数据库 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34777982/article/details/140799823
版权

创建自签名证书


$ openssl genrsa -out CA_key.pem 2048

$ openssl req -x509 \
  -new \
  -nodes \
  -sha256 \
  -days 3650 \
  -key CA_key.pem \
  -out ca.crt.pem \
  -subj "/C=XX/ST=SomeState/L=SomeLocation/O=MyOrganization/CN=SomeCommonName"

$ openssl genrsa -out server.example.com.key 2048

$ openssl req -new \
    -key server.example.com.key \
    -out server.example.com.csr \
    -subj "/CN=server.example.com"  

$cat <<EOF > myserver.cnf
authorityKeyIdentifier=keyid,issuer
keyUsage=digitalSignature
extendedKeyUsage=serverAuth
subjectAltName = @alt_names

[alt_names]
DNS.1 = server.example.com
EOF

$ openssl x509 -req \
  -in server.example.com.csr \
  -CA ca.crt.pem \
  -CAkey CA_key.pem \
  -CAcreateserial \
  -out server.example.com.pem \
  -days 825 \
  -sha256 \
  -extfile myserver.cnf


# 生成3个文件

服务器的私钥:server.example.com.key

服务器证书:server.example.com.pem

证书颁发机构(CA)证书:ca.crt.pem

数据库服务端配置

将 CA 和服务器证书存储在 /etc/pki/tls/certs/ 目录中,并设置权限

mv server.example.com.crt.pem /etc/pki/tls/certs/
mv ca.crt.pem /etc/pki/tls/certs/
chmod 644 /etc/pki/tls/certs/server.example.com.crt.pem /etc/pki/tls/certs/ca.crt.pem

将服务器的私钥存储在 /etc/pki/tls/private/ 目录中,并设置权限

mv server.example.com.key.pem /etc/pki/tls/private/
chmod 640 /etc/pki/tls/private/server.example.com.key.pem
chgrp mysql /etc/pki/tls/private/server.example.com.key.pem

恢复selinux上下文(如果有开启selinux)

restorecon -Rv /etc/pki/tls/

mariadb(/etc/my.cnf.d/mariadb-server-tls.cnf)


[mariadb]
ssl_key = /etc/pki/tls/private/server.example.com.key.pem
ssl_cert = /etc/pki/tls/certs/server.example.com.crt.pem
ssl_ca = /etc/pki/tls/certs/ca.crt.pem

# 拒绝未加密的连接尝试[可选],MariaDB 10.5.2+支持
require_secure_transport = on
# 设置服务器应该支持的 TLS 版本[可选],默认情况下,服务器支持 TLS 1.1、TLS 1.2 和 TLS 1.3。MariaDB 10.4.6+支持
tls_version = TLSv1.2,TLSv1.3


------------------------------------------



mysql(/etc/my.cnf.d/mysql-server-tls.cnf)

[mysqld]
ssl_key = /etc/pki/tls/private/server.example.com.key.pem
ssl_cert = /etc/pki/tls/certs/server.example.com.crt.pem
ssl_ca = /etc/pki/tls/certs/ca.crt.pem

# 拒绝没有加密的连接[可选]
require_secure_transport = on
# 设置服务器应支持的 TLS 版本[可选],默认情况下,服务器支持 TLS 1.1、TLS 1.2 和 TLS 1.3。
tls_version = TLSv1.2,TLSv1.3


# 重启服务

systemctl restart mariadb

systemctl restart mysql


# 检查验证

# mariadb
mysql -u root -p -h server.example.com -e "SHOW GLOBAL VARIABLES LIKE 'have_ssl';"

mysql -u root -p -h server.example.com -e "SHOW GLOBAL VARIABLES LIKE 'tls_version';"

# mysql

mysql -u root -p -h server.example.com -e "SHOW session status LIKE 'Ssl_cipher';"

mysql -u root -p -h server.example.com -e "SHOW GLOBAL VARIABLES LIKE 'tls_version';"

mysql -u root -p -h server.example.com -e "SHOW GLOBAL VARIABLES WHERE Variable_name REGEXP '^ssl_ca|^ssl_cert|^ssl_key';"

对特定的帐户要求 TLS 加密连接

mysql -u root -p -h server.example.com

ALTER USER 'example'@'%' REQUIRE SSL;

# 检查验证

maridab(/etc/my.cnf.d/mariadb-client.cnf)

mysql -u example -p -h server.example.com --ssl

# 尝试以禁用 TLS 的 example 用户身份进行连接,会发现服务器拒绝登录尝试
# mysql -u example -p -h server.example.com --skip-ssl
ERROR 1045 (28000): Access denied for user 'example'@'server.example.com' (using password: YES)

mysql(/etc/my.cnf.d/mysql-client.cnf)

mysql -u example -p -h server.example.com

# 尝试以禁用 TLS 的 example 用户身份进行连接,发现服务器拒绝登录尝试
# mysql -u example -p -h server.example.com --ssl-mode=DISABLED
ERROR 1045 (28000): Access denied for user 'example'@'server.example.com' (using password: YES)

客户端中全局启用 TLS 加密

客户端机器添加ca证书

# cp ca.crt.pem /etc/pki/ca-trust/source/anchors/
# chmod 644 /etc/pki/ca-trust/source/anchors/ca.crt.pem
# update-ca-trust

注:如果是应用连接且你的应用端已经容器化,需要在基础镜像中添加ca证书,将上面的步骤添加到Dockerfile中重新进行打包

在客户端中全局启用 TLS 加密

mariadb

[client-mariadb]
ssl
ssl-verify-server-cert

mysql

[client]
ssl-mode=VERIFY_IDENTITY
ssl-ca=/etc/pki/tls/certs/ca.crt.pem

# 测试

# mysql -u root -p -h server.example.com -e status

如果 SSL 条目中包含 Cipher in use is…,则连接是加密的。请注意,在这个命令中使用的用户需要具有远程身份验证的权限

如果您连接的主机名与服务器的 TLS 证书中的主机名不匹配,则 ssl-verify-server-cert 参数会导致连接失败。例如,连接到 localhost(因为我证书中写的是server.example.com) 


# mysql -u root -p -h localhost -e status
ERROR 2026 (HY000): SSL connection error: Validation of SSL server certificate failed

搜集自网络

筑梦之路
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
TLS加密协议完整流程
wzj_whut的专栏
01-26 1万+
TLS加密协议完整流程
mariadb-10.5.11-linux-aarch64 适配ARM
11-12
- 使用SSL/TLS加密连接,保护数据传输安全。 - 定期更新数据库以获取最新的安全补丁。 总的来说,“mariadb-10.5.11-linux-aarch64”是为ARM64 Linux系统设计的高性能、安全且兼容MySQL 8的数据库解决方案,适用...
docker MariaDB使用SSL及使用OpenSSL生成自定义证
Meta39的博客
10-15 1207
docker MariaDB使用SSL及使用OpenSSL生成自定义证
MySQL(MariaDB)的 SSL 加密复制
u010027484的博客
08-18 1031
本文转自:http://www.cnblogs.com/zhoujinyi/p/4191096.html 背景:       在默认的主从复制过程或远程连接到MySQL/MariaDB所有的链接通信中的数据都是明文的,在局域网内连接倒问题不大;要是在外网里访问数据或则复制,则安全隐患会被放大很多。由于项目要求需要直接和外网的一台实例进行同步。所以本文介绍下通过SSL加密的方式进
Mariadb(MySql)开启SSL简明教程
steptodream的专栏
11-11 1841
Mariadb,MySql开启SSL简明教程
mysql启用ssl
吴业亮的专栏
03-08 3545
作者:【吴业亮】 博客:https://wuyeliang.blog.csdn.net/ 1、制作ssl证 [root@www ~]# cd /etc/pki/tls/certs [root@www certs]# make server.key umask 77 ; \ /usr/bin/openssl genrsa -aes128 2048 &amp;amp;gt; server.key Generatin...
MySQL的SSL加密连接与性能开销
test_soy的博客
12-10 811
1前言 在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中。MySQL在5.7版本之前对于安全问题的确考虑并不充分,导致存在比较大的隐患,比如下面的这些问题,可能有些小伙伴知道,有些却还不知道: MySQL数据库默认安装的用户密码为空 所有用户拥有对于MySQL默认安装test数据库的访问权限(即使没有授予权限) 好在O
【Wordpress】docker环境下wordpress网站安装ssl/tls
源林氏的笔记本
08-31 2669
docker环境下wordpress网站安装ssl/tls
AWS-SAA-C03认证——之基础知识扫盲
ratel的博客
01-13 2453
AWS-SAA-C03认证---之aws基础知识扫盲,AWS认证考试是什么?有什么用?
MariaDB Connector/C(mariadb-connector-c-3.1.13-src.zip)
01-17
4. **SSL加密**:支持SSL(Secure Socket Layer)和TLS(Transport Layer Security)加密,确保数据传输的安全性,防止数据被窃取。 5. **预编译语句**:提供预编译SQL语句的功能,能够提高查询性能,同时减少SQL...
phpmyadmin:MySQL和MariaDB的Web界面
02-03
4. **使用HTTPS**:使用SSL/TLS加密传输,保护数据安全。 5. **不使用默认配置**:更改默认的登录URL和管理员账户名,增加安全性。 **四、与其他技术的集成** phpMyAdmin可以与各种Web框架和CMS(内容管理系统)...
linux系统中使用openssl实现mysql主从复制
09-09
是SSL/TLS加密的基础,它包含了公钥和身份信息。这里我们分为两部分:CA(证权威)证和MySQL服务器。 1. **CA证**: - 创建CA私钥:`openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048` - ...
guacamole.zip
12-01
8. **安全考虑**:为了增强安全性,建议配置SSL/TLS加密与Guacamole服务器的通信。这可以通过在Tomcat上设置并启用HTTPS实现。 9. **监控和日志**:定期检查Guacamole的日志文件,以确保一切正常运行并及时发现...
Mariadb高可用MHA】
很神秘的博客
08-15 1353
MHA(MasterHigh Availability)是一套优秀的MySQL高可用环境下故障切换和主从复制的软件。 MHA 的出现就是解决MySQL 单点的问题。 MySQL故障切换过程中,MHA能做到0-30秒内自动完成故障切换操作。 MHA能在故障切换的过程中最大程度上保证数据的一致性,以达到真正意义上的高可用。
系统学习Linux-Mariadb高可用MHA
weixin_66894765的博客
08-16 895
MHA(MasterHigh Availability)是一套优秀的MySQL高可用环境下故障切换和主从复制的软件。MHA 的出现就是解决MySQL 单点的问题。MySQL故障切换过程中,MHA能做到0-30秒内自动完成故障切换操作。MHA能在故障切换的过程中最大程度上保证数据的一致性,以达到真正意义上的高可用。
数据库查询与操作指南-以Nebula图数据库为例
DZSpace,专注于计算机科学与技术领域的技术博主,致力于分享实用知识与技巧,帮助读者快速掌握技术要点,共同探索计算机世界的无限可能。欢迎访问DZSpace的博客,一起学习进步!
07-26 317
数据库查询与操作指南-以Nebula图数据库为例
ODBC连接达梦数据库
qq_55187735的博客
07-24 299
用户执行,因为环境变量配置在。
已经10岁的K8S,在很多方面仍需努力
最新发布
u012516914的专栏
07-28 249
/ K8S 已经 10 岁了,但仍然有许多方面要继续努力 /Kubernetes 于 2014 年 6 月推出,自那时起,它在推广云原生应用设计和支持更多微服务部署方面发挥了巨大作用。容器部署的增长非常迅速,而 Kubernetes 对于企业管理这些部署至关重要——根据 CNCF 上一份报告的调查结果,84% 的组织正在使用或评估 Kubernetes,而 66% 的潜在和实际消费者在生产中使用 ...
如何查看 mariadb的 ssl加密是否启用
05-25
您可以通过以下步骤来查看 MariaDB 的 SSL 加密是否已启用: 1. 登录到 MariaDB 数据库服务器。 2. 执行以下命令: `SHOW VARIABLES LIKE 'have_ssl';` 如果返回值为 `YES`,则表示 SSL 加密启用;如果返回值为 `DISABLED`,则表示 SSL 加密启用。 3. 如果 SSL 加密启用,则可以继续执行以下命令检查 SSL 相关的变量设置:`SHOW VARIABLES LIKE '%ssl%';` 您也可以查看 MariaDB 的配置文件(通常是 `/etc/my.cnf` 或 `/etc/mysql/my.cnf`),查看是否存在 SSL 相关的配置选项。如果存在,则表示 SSL 加密启用。您可以查找以下配置选项: ``` ssl-ca=/path/to/ca-cert.pem ssl-cert=/path/to/server-cert.pem ssl-key=/path/to/server-key.pem ``` 如果这些配置选项存在,则表示 SSL 加密启用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值