mysql基于SSL的加密复制

最新推荐文章于 2023-12-08 10:28:31 发布
最新推荐文章于 2023-12-08 10:28:31 发布
阅读量330 收藏
点赞数
文章标签: mysql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36801585/article/details/104189810
版权

mysql基于SSL的复制加密

一、为什么要使用基于SSL复制?

​ 在默认的主从复制过程或远程连接到MySQL/MariaDB所有的链接通信中的数
据都是明文的,外网里访问数据或则复制,存在安全隐患。通过SSL/TLS加密的
方式进行复制的方法,来进一步提高数据的安全性

参看:https://mariadb.com/kb/en/library/replication-with-secure-connections/

二、搭建基于SSL的加密复制

环境要求

默认情况下ssl都是关闭的,要是have_ssl显示NO,则表示数据库不支持SSL,需要重新编译安装来支持它,显示为DISABLED表示支持SSL,但没有开启。

MariaDB [(none)]> show variables like '%ssl%';
+---------------------+------------------------------+
| Variable_name       | Value                        |
+---------------------+------------------------------+
| have_openssl        | NO                           |
| have_ssl            | DISABLED                     |

这样的数据库是不行滴!永远无法读取不到openssl 生成的key

SSL error: Unable to get private key from ‘/etc/my.cnf.d/ssl/master.key’

在master 上操作

1、 生成证书
1.1 创建证书目录
root@z1:/etc/my.cnf.d/ssl# mkdir /etc/my.cnf.d/ssl -p
root@z1:~# cd /etc/my.cnf.d/ssl
1.2 生成CA私钥
root@z1:/etc/my.cnf.d/ssl# openssl genrsa 2048 > cakey.pem
1.3 CA为自己颁发证书
root@z1:/etc/my.cnf.d/ssl# openssl req -new -x509 -key cakey.pem -out cacert.pem -days 3650
1.4 为master 生成私钥并且生成证书请求
root@z1:/etc/my.cnf.d/ssl# openssl req -newkey rsa:1024  -days 365 -nodes -keyout master.key > master.csr
1.5 为master颁发证书
root@z1:/etc/my.cnf.d/ssl# openssl x509 -req -in master.csr -CA cacert.pem -CAkey cakey.pem -set_serial 01 > master.crt
1.6 为slave 生成私钥并且生成证书请求
root@z1:/etc/my.cnf.d/ssl# openssl req -newkey rsa:1024  -nodes -keyout slave.key > slave.csr
1.7 为slave颁发证书
root@z1:/etc/my.cnf.d/ssl# openssl x509 -req -in slave.csr -CA cacert.pem -CAkey cakey.pem -set_serial 02 > slave.crt
1.8 为master 和slave 的key 加上读权限
root@z1:/etc/my.cnf.d/ssl# chmod +r master.key  slave.key
2、修改配置文件

vim /etc/my.cnf

[mysqld]
log-bin
server_id=1
ssl-ca=/etc/mysql/cacert.pem
ssl-cert=/etc/mysql/master.crt
ssl-key=/etc/mysql/master.key

(因为my.cnf.d文件夹无法访问,所以才改了文件夹)

重启 mysql 这时候若遇到此类错误,则修改证书放在可访问的文件夹即可

2020-02-05T13:20:28.412799Z 0 [Warning] Failed to set up SSL because of the following SSL library error: SSL_CTX_set_default_verify_paths failed

3. 创建必须使用ssl加密 才能登录的账号
MariaDB [(none)]> grant replication slave on *.* to 'r1'@'192.168.%'identified by '123' require  ssl;
Query OK, 0 rows affected (0.00 sec)
4.创建完全备份,把备份文件和slave相关的证书发送给slave
root@z1:~# mysqldump  -A -F --master-data=1 --single-transaction > all_bak.sql

root@z1:/etc/my.cnf.d/ssl# scp slave.crt  slave.key  cacert.pem   192.168.1.102:/etc/mysql

在 slave 上操作

1.导入数据库并且设置复制的配置信息
root@z2:~# mysql < all_bak.sql 

CHANGE MASTER TO
MASTER_HOST='192.168.1.101',
MASTER_USER='r1',
MASTER_PASSWORD='123',
MASTER_PORT=3306,
MASTER_LOG_FILE='z1-bin.000002', MASTER_LOG_POS=154,
MASTER_SSL=1,
MASTER_SSL_CA = '/etc/mysql/cacert.pem',
MASTER_SSL_CERT = '/etc/mysql/slave.crt',
MASTER_SSL_KEY = '/etc/mysql/slave.key';
2.测试复制账号能否登录
root@z2:/etc/mysql# mysql -h192.168.1.101 -ur1 -p123 --ssl-ca=cacert.pem --ssl-cert=slave.crt --ssl-key=slave.key
3.配置从服务器的证书信息
[mysqld]
server-id=2
read_only
ssl-ca=/etc/mysql/cacert.pem
ssl-cert=/mysql/slave.crt
ssl-key=/mysql/slave.key

验证

mysql> show variables like '%ssl%' ;
+---------------+-----------------------+
| Variable_name | Value                 |
+---------------+-----------------------+
| have_openssl  | YES                   |
| have_ssl      | YES                   |
| ssl_ca        | /etc/mysql/cacert.pem |
| ssl_capath    |                       |
| ssl_cert      | /etc/mysql/slave.crt  |
| ssl_cipher    |                       |
| ssl_crl       |                       |
| ssl_crlpath   |                       |
| ssl_key       | /etc/mysql/slave.key  |
+---------------+-----------------------+
9 rows in set (0.01 sec)
4. 开启复制线程
mysql> start slave ;

mysql> show slave status \G ;

             Slave_IO_Running: Yes
            Slave_SQL_Running: Yes


  Master_SSL_Allowed: Yes
           Master_SSL_CA_File: /etc/mysql/cacert.pem
           Master_SSL_CA_Path: 
              Master_SSL_Cert: /etc/mysql/slave.crt
            Master_SSL_Cipher: 
               Master_SSL_Key: /etc/mysql/slave.key
山贼王
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于SSL实现MySQL加密主从复制
倾听雨落
11-24 2393
大家都知道MySQL的主从复制是明文传输的,这对一些特殊业务来说是不允许的,下面来尝试构建基于SSL的主从复制 环境:RHEL5.8 SELinux关闭,iptables关闭,MySQL 5.5.28-i686 tar包初始化安装(非编译) 规划: master: 172.16.1.18  master.laoguang.me slave:  172.16.1.19  slave.l
MySQL连接、SSL加密与密码插件
pass_x的博客
04-08 1406
一、连接Mysql实例 几种连接方式 通过本地socket套接字进行连接 语法:mysql -S /tmp/mysql.sock -u root -p 通常客户端和服务端在同一台服务器上,默认使用套接字连接,套接字不在配置文件中指定,则默认在/tmp/mysql.sock路径 查看socket变量 (root@localhost) [(none)]> show variables like 'socket'; +---------------+-----------------+ | Var
mysql ssl配置过程中出现的问题
xwawa2012的专栏
05-21 3266
错误问题: 1、ERROR 2026 (HY000): SSL connection error: SSL_CTX_set_default_verify_paths failed 文件ca.pem不能读取,应该是连接时文件路径错误,或读取权限不够 2、ERROR 1045 (28000): Access denied for user 'ssl_test'@'10.35.8.182' (using password: YES) url中添加cipher=AES128-SHA 3、using a p
MySQL 配置文件位置及命名。
lyfGeek的博客
12-07 2226
MySQL 配置文件位置及命名。
[MY-010069] [Server] Failed to set up SSL because of the following SSL library error: SSL_CTX_set_d
十年运维开发经验的王义杰在此分享自己的知识和经验
11-13 1006
当我们遇到的错误提示 “Failed to initialize TLS for channel: mysql_main” 和 “SSL_CTX_set_default_verify_paths failed” 通常与 MySQL 服务器的 SSL/TLS 配置有关。按照以上步骤进行检查和调整后,我们应该能够解决与 SSL 相关的初始化错误。如果问题依然存在,可能需要进一步的系统和网络环境调查。
Mysql备份——mysqldump
热门推荐
yolo2016的博客
02-07 1万+
Mysql备份——mysqldumpMysqldump备份流程一. mysqldump命令备份数据二. mysqldump常用操作示例三. 还原 MySQL备份内容 Mysqldump备份流程 mysqldump 备份出的文件就是 sql 文件,其核心就是对每个表执行 select ,然后转化成相应的 insert 语句。 mysqldump 的备份流程大致如下: 对某个库下所有表加读锁; 循环备份备份表数据; 释放读锁; 循环上面三个步骤; 备份完毕。 一. mysqldump命令备份数据 在MySQ
多种不同的 MySQLSSL 配置浅谈
hdxx2022的博客
08-25 549
有一些细微的协议支持差别,比如:MySQL 只支持 TLS v1.0,默认不支持主机名验证,所以你的证书可能是给db1.example.com的,也可能是给db2.example的,浏览器则可能会用OCSP、CRL's 或 CRLsets 来验证证书是否有效。MySQL 只支持 TLS v1.0,默认不支持主机名验证,所以你的证书可能是给db1.example.com的,也可能是给db2.example的,浏览器则可能会用OCSP、CRL's 或 CRLsets 来验证证书是否有效。这就是他们最大的不同。
基于SSL加密MySQL主从复制
12-18
MySQL的主从复制中,其传输过程是明文传输,并不能保证数据的安全性,在编译安装Mysql时,基本上都会加上一个 --with-openssl这样的选项,即表示支openssl加密传输协议,因此就可以为mysql配置基于ssl加密传输
MySQL基于SSL协议进行主从复制的详细操作教程
09-10
MySQL基于SSL协议进行主从复制是为了确保数据在传输过程中的安全性,特别是在网络环境中,明文传输的数据容易被窃取。SSL(Secure Sockets Layer)协议提供了加密通信和身份验证的机制,可以保护复制数据免受中间人...
MySQL配置SSL主从复制
09-09
MySQL配置SSL主从复制是为了确保数据在主从节点之间的传输是安全的,通过加密通信防止数据在传输过程中被窃取或篡改。SSL(Secure Sockets Layer)是一种广泛使用的网络安全协议,可以为网络通信提供加密处理,确保...
MySQL 8.0开启SSL.docx
07-08
MySQL 8.0 开启 SSL 加密连接 MySQL 8.0 版本中,开启 SSL 加密连接是非常重要的,以确保数据传输的安全性。在本文中,我们将详细介绍如何在 MySQL 8.0 中开启 SSL 加密连接。 首先,我们需要了解什么是 SSL 加密...
MySQL 8.x重新初始化报错[MY-010069] [Server] Failed to set up SSL because of the following SSL library error
一个标题
11-30 966
MySQL 8.x重新初始化报错[MY-010069] [Server] Failed to set up SSL because of the following SSL library error
DBeaver备份数据库报错mysqldump: Got error: 2026: SSL connection error: error:140770FC:SSL routines:SSL23_GE
最新发布
qq_59125846的博客
12-08 969
一开始不知道是什么报错,于是直接复制在网上找,试了好多方法都没用,忽然看到一个文章和我一样出问题,但是问题不一样,他就找出问题的关键信息,就解决了,我也学着找,果然,就在这一行。希望大家都能找到精准查找错误的方法。就好了,意思是关掉ssl服务。
MYSQL敏感字段加密存储
mangobot的博客
08-29 1102
MYSQL敏感字段加密存储
mysql ssl 2026_解决连接到 Amazon RDS for MySQL 或 Aurora 实例时的 ERROR 2026 SSL 连接错误...
weixin_34433661的博客
01-27 2664
我尝试使用安全套接字层 (SSL) 连接到我的 Amazon Relational Database Service (Amazon RDS) 实例或集群。但是我收到了以下错误:“ERROR 2026 (HY000): SSL connection error”我该如何解决面向 Amazon RDS for MySQLMySQL、Amazon Aurora 或 Amazon Aurora Ser...
MySQL服务无法启动伴随部分ERROR解决001
一万只煎饺的博客
11-27 9179
MySQL Server 5.7,确认环境配置无误的情况下 在cmd窗口中进入MySQL下的bin目录 cd: C:\Program Files\MySQL\MySQL Server 5.7\bin net start mysql MySQL 服务正在启动 . MySQL 服务无法启动。   服务没有报告任何错误。   请键入 NET HELPMSG 3534 以获得更多的帮助。...
mysql warning 日志_Mysql5.7.19安装后错误日志中有警告
weixin_39788131的博客
01-19 284
警告1:secure_file_priv 配置项对数据导入导出的影响1、限制mysqld 不允许导入 | 导出mysqld --secure_file_prive=nullMySQL [ztjy]> select * from info_posts limit 10 into outfile '/usr/local/src/info_posts_tmp.txt';ERROR 1290 (HY...
mysql 加密 en_PHP Openssl解密AES Mysql加密
weixin_39614322的博客
02-17 276
openssl_encrypt()和openssl_decrypt()静默将密钥切割为最大16字节长度(至少对于aes-128-ecb)$key1 = hex2bin(openssl_digest('mysecretphrase', 'sha512'));$key2 = substr($key1, 0, 16);$key3 = substr($key1, 0, 15);$method = 'aes...
mysql如何使用ssl加密传输
07-08
要在MySQL中使用SSL加密传输,您需要按照以下步骤进行操作: 1. 生成SSL证书和密钥:首先,您需要生成SSL证书和密钥对。可以使用OpenSSL工具来生成它们。以下是生成自签名SSL证书和密钥的示例命令: ``` openssl req -x509 -nodes -newkey rsa:2048 -keyout server-key.pem -out server-cert.pem -days 365 ``` 这将生成一个有效期为365天的自签名SSL证书(server-cert.pem)和私钥(server-key.pem)。 2. 配置MySQL服务器:将生成的SSL证书和密钥复制MySQL服务器的某个安全位置(例如,/etc/mysql/certs/)。 3. 编辑MySQL配置文件:打开MySQL服务器的配置文件(例如,my.cnf或my.ini),并添加以下配置项: ``` [mysqld] ssl-ca=/path/to/server-cert.pem ssl-cert=/path/to/server-cert.pem ssl-key=/path/to/server-key.pem ``` 4. 重新启动MySQL服务器:保存更改后,重新启动MySQL服务器以使配置生效。 5. 配置MySQL客户端:要在MySQL客户端上使用SSL连接到服务器,您需要确保客户端也具备SSL支持。有关如何配置不同MySQL客户端的详细说明,请参阅各自的文档。 6. 测试SSL连接:使用具备SSL支持的MySQL客户端连接到MySQL服务器,并验证SSL连接是否成功建立。例如,使用以下命令连接到服务器: ``` mysql --ssl-ca=/path/to/server-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -h <服务器地址> -u <用户名> -p ``` 将`<服务器地址>`替换为MySQL服务器的地址,`<用户名>`替换为您的用户名。根据需要,您可能还需要提供其他连接参数。 确保在使用SSL加密传输时,您的MySQL服务器和客户端之间的时间同步和时钟设置正确。此外,对于生产环境中的安全性考虑,建议使用由受信任的证书颁发机构(CA)签发的SSL证书,而不是自签名证书。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值