一【需求】
应等保3.0要求,数据库需要开启SSL加密措施和强制SSL通信保证重要数据在传输过程中的完整性。
二【SSL介绍】
SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。
SSL协议提供的功能主要有:
1、 数据传输的机密性:利用对称密钥算法对传输的数据进行加密。
2.、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的。
3、 消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性。
如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的,而这给别有用心的人带来了可乘之机。所以,现在很多大型网站都开启了SSL功能。同样地,在我们数据库方面,如果客户端连接服务器获取数据不是使用SSL连接,那么在传输过程中,数据就有可能被窃取。
三【mysql配置】
3.1 mysql 5.7默认 是有配置SSl的。查看数据库是否配置SSL。
show variables like '%ssl%';
have_openssl和have_ssl参数值为:YEs,表示已开启SSL;
若无开启,需要启动ssl安装。
#mysql bin路径下启动安装命令
/usr/local/mysql/bin/mysql_ssl_rsa_setup
#进入data目录,授权*.pem mysql权限
cd /var/lib/mysql/
chown -R mysql.mysql *.pem
#重启mysql 生效
service mysql restart
3.2 检查mysql 账号是否认证SSL
select user,host,ssl_type from mysql.user;
创建读写账号
grant select, insert, update, delete on *.* to ssl@'192.168.1.%' IDENTIFIED BY '123456';
FLUSH PRIVILEGES;
若ssl_type 有ANY 字段,代表有开启SSL认证。
#开启数据库SSL认证。
ALTER USER 'ssl'@'192.168.1.%' REQUIRE SSL;
FLUSH PRIVILEGES;
#关闭数据库SSL认证。
ALTER USER 'ssl'@'192.168.1.%' REQUIRE NONE;
FLUSH PRIVILEGES;
四【服务端Java调整】
4.1 数据库mysql:jdbc 连接池地址需要调整。
useSSL=false 调整为 useSSL=true
nacos调整示例:
url: jdbc:mysql://${mysql-server}/database1?useSSL=true&autoReconnect=true&useTimezone=true&serverTimezone=GMT%2B8
username: ${mysql-username}
password: ${mysql-password}
driver-class-name: com.mysql.cj.jdbc.Driver
4.2 需要重启服务生效验证。
五【总结】
1、MySQL5.7默认是开启SSL连接,如果强制用户使用SSL连接,那么应用程序的配置也需要明确指定SSL相关参数,否则程序会报错。
2、虽然SSL方式使得安全性提高了,但是相对地使得QPS也降低23%左右。所以要谨慎选择:
2.1、对于非常敏感核心的数据,或者QPS本来就不高的核心数据,可以采用SSL方式保障数据安全性;
2.2、对于采用短链接、要求高性能的应用,或者不产生核心敏感数据的应用,性能和可用性才是首要,建议不要采用SSL方式;