Mysql 开启ssl连接

最新推荐文章于 2024-05-31 13:56:47 发布
最新推荐文章于 2024-05-31 13:56:47 发布
阅读量5.4w 收藏 72
点赞数 9

注意!本文是针对Mysql 5.7版本以上数据库,版本较低者可看这一篇博客:https://www.cnblogs.com/zhoujinyi/p/4191096.html

1. 检查当前SSL / TLS状态

我们将使用-h指定IPv4本地环回接口,以强制客户端与TCP连接,而不是使用本地套接字文件。 这将允许我们检查TCP连接的SSL状态:

mysql -u root -p -h 127.0.0.1

键入以下内容以显示SSL / TLS变量的状态:

SHOW VARIABLES LIKE '%ssl%';
Output
+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |
| have_ssl      | DISABLED |
| ssl_ca        |          |
| ssl_capath    |          |
| ssl_cert      |          |
| ssl_cipher    |          |
| ssl_crl       |          |
| ssl_crlpath   |          |
| ssl_key       |          |
+---------------+----------+
9 rows in set (0.01 sec)

have_openssl和have_ssl字段显示DISABLE,表示当前mysql拥有ssl的功能,但是ssl功能未默认启动。

检查我们当前连接的状态以确认:(需要root授权ssl等陆才可以(下面有介绍))

\s
Output
--------------
mysql  Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using  EditLine wrapper

Connection id:      30
Current database:   
Current user:       root@localhost
SSL:         Not in use
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server version:     5.7.17-0ubuntu0.16.04.1 (Ubuntu)
Protocol version:   10
Connection:      127.0.0.1 via TCP/IP
Server characterset:    latin1
Db     characterset:    latin1
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:       3306
Uptime:         3 hours 38 min 44 sec

Threads: 1  Questions: 70  Slow queries: 0  Opens: 121  Flush tables: 1  Open tables: 40  Queries per second avg: 0.005
--------------

上面显示的SSL: Not in use说明,当前连接没有在SSL安全连接中 
关闭当前MySQL会话:

exit

2.生成SSL / TLS证书和密钥

要启用到MySQL的SSL连接,我们首先需要生成相应的证书和密钥文件。 MySQL 5.7及更高版本提供了一个名为mysql_ssl_rsa_setup的实用程序,我们使用root权限生成相关的请求文件和证书对,为了能让mysql有权限去使用,命令中应该使用选项和参数--uid=mysql来指定uid。

sudo mysql_ssl_rsa_setup --uid=mysql

命令执行生成证书的过程如下:

root@simon-pc:/home/simon# mysql_ssl_rsa_setup --uid=mysql
Generating a 2048 bit RSA private key
...........+++
.................................................................................+++
writing new private key to 'ca-key.pem'
-----
Generating a 2048 bit RSA private key
.+++
....................................................................+++
writing new private key to 'server-key.pem'
-----
Generating a 2048 bit RSA private key
...................................................+++
...............+++
writing new private key to 'client-key.pem'
-----
root@simon-pc:/home/simon#

检查生成的文件:

root@simon-pc:/home/simon# sudo find /var/lib/mysql -name '*.pem' -ls
   655857      4 -rw-------   1 mysql    mysql        1679 Feb  1 09:36 /var/lib/mysql/ca-key.pem
   657410      4 -rw-------   1 mysql    mysql        1679 Feb  1 09:36 /var/lib/mysql/server-key.pem
   657421      4 -rw-r--r--   1 mysql    mysql        1107 Feb  1 09:36 /var/lib/mysql/server-cert.pem
   655989      4 -rw-r--r--   1 mysql    mysql        1107 Feb  1 09:36 /var/lib/mysql/ca.pem
   657461      4 -rw-r--r--   1 mysql    mysql        1107 Feb  1 09:36 /var/lib/mysql/client-cert.pem
   657426      4 -rw-------   1 mysql    mysql        1679 Feb  1 09:36 /var/lib/mysql/client-key.pem
   653150      4 -rw-------   1 mysql    mysql        1675 Feb  1 09:36 /var/lib/mysql/private_key.pem
   655778      4 -rw-r--r--   1 mysql    mysql         451 Feb  1 09:36 /var/lib/mysql/public_key.pem
root@simon-pc:/home/simon#

这些文件是证书颁发机构(以“ca”开头),MySQL服务器进程(以“服务器”开头)和MySQL客户端(以“客户端”开头)的密钥和证书对。 此外,当不使用SSL时,MySQL使用private_key.pem和public_key.pem文件来安全地传输密码。

3.在MySQL服务器上启用SSL连接

现在新版本的MySQL将在服务器启动时在MySQL数据目录中查找相应的证书文件。 因此,我们实际上不需要修改MySQL配置来启用SSL,重启即可。

sudo systemctl restart mysql

连接MySql,MySQL客户端将自动尝试使用SSL进行连接:

mysql -u root -p -h 127.0.0.1

检查SSL相关变量的值:

SHOW VARIABLES LIKE '%ssl%';
+---------------+-----------------+
| Variable_name | Value           |
+---------------+-----------------+
| have_openssl  | YES             |
| have_ssl      | YES             |
| ssl_ca        | ca.pem          |
| ssl_capath    |                 |
| ssl_cert      | server-cert.pem |
| ssl_cipher    |                 |
| ssl_crl       |                 |
| ssl_crlpath   |                 |
| ssl_key       | server-key.pem  |
+---------------+-----------------+
9 rows in set (0.00 sec)

上面显示说明正确启动了SSL功能。 
再次检查连接详细信息:

\s
--------------
mysql  Ver 14.14 Distrib 5.7.21, for Linux (x86_64) using  EditLine wrapper

Connection id:          5
Current database:
Current user:           root@localhost
SSL:                    Cipher in use is DHE-RSA-AES256-SHA
Current pager:          stdout
Using outfile:          ''
Using delimiter:        ;
Server version:         5.7.21-0ubuntu0.16.04.1 (Ubuntu)
Protocol version:       10
Connection:             127.0.0.1 via TCP/IP
Server characterset:    latin1
Db     characterset:    latin1
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:               3306
Uptime:                 31 min 54 sec

Threads: 1  Questions: 10  Slow queries: 0  Opens: 107  Flush tables: 1  Open tables: 26  Queries per second avg: 0.005
--------------

上面显示的SSL: Cipher in use is DHE-RSA-AES256-SHA说明我们正在使用SSL。

4.为远程客户端配置安全连接

现在我们已在服务器上提供SSL,我们可以开始配置安全远程访问。 为此,我们需要:

  • 需要SSL用于远程连接
  • 绑定到公共接口
  • 为远程连接创建MySQL用户
  • 调整我们的防火墙规则以允许外部连接

4.1使用强制SSL配置远程访问

目前,MySQL服务器配置为接受来自客户端的SSL连接。 但是,如果客户端请求,它仍然允许未加密的连接。

我们可以通过打开require_secure_transport选项来解决这个问题。 这需要所有连接都使用SSL或本地Unix套接字。 由于只能从服务器本身访问Unix套接字,因此对远程用户开放的唯一连接选项将使用SSL

要启用此设置,请在文本编辑器中打开/etc/mysql/my.cnf文件:

sudo nano /etc/mysql/my.cnf

在里面,会有两个!includedir指令用于源额外的配置文件。 我们需要在这些行下面放置我们自己的配置,以便覆盖任何冲突的设置。

首先创建一个[mysqld]节来定位MySQL服务器进程。 在该节标题下,将require_secure_transport设置为ON,:

. . . 

!includedir /etc/mysql/conf.d/
!includedir /etc/mysql/mysql.conf.d/

[mysqld]
# Require clients to connect either using SSL
# or through a local socket file
require_secure_transport = ON

该行是执行安全连接所需的唯一设置。

默认情况下,MySQL被配置为仅监听源自本地计算机的连接。 要配置它监听远程连接,我们可以将bind-address设置为不同的接口。

为了允许MySQL在其任何接口上接受连接,我们可以将bind-address设置为“0.0.0.0”:

. . .

!includedir /etc/mysql/conf.d/
!includedir /etc/mysql/mysql.conf.d/

[mysqld]
# Require clients to connect either using SSL
# or through a local socket file
require_secure_transport = ON
bind-address = 0.0.0.0

保存并在完成后关闭文件。

接下来,重新启动MySQL以应用新设置:

sudo systemctl restart mysql

验证MySQL是否正在监听“0.0.0.0”而不是“127.0.0.1”通过键入:

sudo netstat -plunt
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:3306            0.0.0.0:*               LISTEN      4330/mysqld     
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1874/sshd       
tcp6       0      0 :::22                   :::*                    LISTEN      1874/sshd

让防火墙允许MySQL连接

ufw allow mysql

5.配置远程MySQL用户

mysql -u root -p

在里面,您可以使用CREATE USER命令创建一个新的远程用户。 我们将在用户规范的主机部分使用我们的客户端机器的IP地址来限制与该机器的连接。

对于将来require_secure_transport选项关闭时的一些冗余,我们还将在创建帐户期间指定此用户通过包含REQUIRE SSL子句来REQUIRE SSL :

CREATE USER 'remote_user'@'mysql_client_IP' IDENTIFIED BY 'password' REQUIRE SSL;

接下来,授予他们应该有权访问的数据库或表的新用户权限。 为了演示,我们将创建一个example数据库,并赋予我们新的用户所有权:

CREATE DATABASE example;
GRANT ALL ON example.* TO 'remote_user'@'mysql_client_IP';

接下来,刷新权限以立即应用这些设置:

FLUSH PRIVILEGES;
exit

6.测试远程连接

remote_user:用户名,mysql_server_IP:MySql服务器所在IP地址

mysql -u remote_user -p -h mysql_server_IP

检查以确保您的连接安全:

\s
Output
--------------
. . .
SSL:         Cipher in use is DHE-RSA-AES256-SHA
. . .
Connection:      mysql_server_IP via TCP/IP
. . .

上面显示当前连接在SSL保护下

exit

尝试不安全的连接:

mysql -u remote_user -p -h mysql_server_IP --ssl-mode=disabled

即使输入正确的密码,依然后提示拒绝访问,--ssl-mode=disabled表示连接会话不启用SSL:

OutputERROR 1045 (28000): Access denied for user 'remote_user'@'mysql_server_IP' (using password: YES)

7.配置MySQL连接验证(可选)

目前,我们的MySQL服务器配置有由本地生成的证书颁发机构(CA)签名的SSL证书。 服务器的证书和密钥对足以为传入连接提供加密。

但是,我们目前没有利用证书颁发机构可以提供的信任关系。 通过将CA证书分发给客户端以及客户端证书和密钥,双方可以提供其证书由相互信任的证书颁发机构签名的证明。 这可以帮助防止恶意服务器的欺骗性连接。

为了实施这个额外的可选保护措施,我们需要:

  • 将适当的SSL文件传输到客户端计算机
  • 创建客户端配置文件
  • 更改远程用户以要求受信任的证书

7.1将客户端证书传输到客户端计算机

首先,我们需要从MySQL服务器获取MySQL CA和客户端证书文件,并将它们放在MySQL客户端上。

首先在MySQL客户端上的用户的主目录中创建一个目录,用于连接。 调用此client-ssl :

mkdir ~/client-ssl

由于证书密钥是敏感的,我们应该锁定对此目录的访问,以便只有当前用户可以访问它:

chmod 700 ~/client-ssl

现在,我们可以将证书信息复制到新目录。

在MySQL服务器计算机上,通过键入以下内容显示CA证书的内容:

sudo cat /var/lib/mysql/ca.pem
-----BEGIN CERTIFICATE-----

. . .

-----END CERTIFICATE-----

将整个输出(包括BEGIN CERTIFICATEEND CERTIFICATE行)复制到剪贴板。

在MySQL客户端上 ,在新目录中创建一个具有相同名称的文件:

nano ~/client-ssl/ca.pem

在内部,从剪贴板粘贴复制的证书内容。 保存并在完成后关闭文件。

接下来,在MySQL服务器上显示客户端证书:

sudo cat /var/lib/mysql/client-cert.pem
-----BEGIN CERTIFICATE-----

. . .

-----END CERTIFICATE-----

再次,将内容复制到剪贴板。 记住包括第一行和最后一行。

在client-ssl目录下的MySQL客户端上打开一个具有相同名称的文件:

nano ~/client-ssl/client-cert.pem

粘贴剪贴板中的内容。 保存并关闭文件。

最后,在MySQL服务器上显示客户端密钥文件的内容:

sudo cat /var/lib/mysql/client-key.pem
Output
-----BEGIN RSA PRIVATE KEY-----

. . .

-----END RSA PRIVATE KEY-----

将显示的内容(包括第一行和最后一行)复制到剪贴板。

在MySQL客户端上 ,在client-ssl目录中打开一个具有相同名称的文件:

nano ~/client-ssl/client-key.pem

粘贴剪贴板中的内容。 保存并关闭文件。

客户端机器现在应具有访问MySQL服务器所需的所有凭据。 接下来,我们需要改变我们的远程用户。

7.2需要远程用户的受信任的CA的证书(双向认证)

目前,MySQL客户端具有可用于在连接时向服务器提供其证书的文件。 但是,服务器仍未设置为要求来自受信任的CA的客户端证书。

要更改此,请在MySQL服务器上再次登录MySQL根帐户:

mysql -u root -p

接下来,我们需要更改对远程用户的要求。 而不是REQUIRE SSL子句,我们需要应用REQUIRE X509子句。 这意味着由先前需求提供的所有安全性,但另外需要连接客户端呈现由MySQL服务器信任的证书机构签署的证书。

要调整用户要求,请使用ALTER USER命令:

ALTER USER 'remote_user'@'mysql_client_IP' REQUIRE X509;

刷新更改以确保立即应用更改:

FLUSH PRIVILEGES;

完成后退出到shell:

exit

接下来,我们可以测试,以确保我们仍然可以连接。 
连接时测试证书验证 
现在是检查我们是否可以在连接时验证双方的好时机。

在MySQL客户端上 ,首先尝试连接而不提供客户端证书:

mysql -u remote_user -p -h mysql_server_IP
ERROR 1045 (28000): Access denied for user 'remote_user'@'mysql_client_IP' (using password: YES)

不提供客户端证书,服务器拒绝连接。

现在,使用–ssl-ca , –ssl-cert和–ssl-key选项指向~/client-ssl目录中的相关文件,进行连接:

mysql -u remote_user -p -h mysql_server_IP --ssl-ca=~/client-ssl/ca.pem --ssl-cert=~/client-ssl/client-cert.pem --ssl-key=~

您应该成功登录。 注销以重新获得对shell会话的访问:

exit

现在我们已经确认访问服务器,我们可以实现一个小的可用性改进。

7.3创建MySQL客户端配置文件

为了避免每次连接时都指定证书文件,我们可以创建一个简单的MySQL客户端配置文件。

在MySQL客户端机器上的主目录中,创建一个名为~/.my.cnf的隐藏文件:

nano ~/.my.cnf

在文件的顶部,创建一个名为[client]的部分。 在下面,我们可以设置ssl-ca , ssl-cert和ssl-key选项,以指向我们从服务器复制的文件。 它应该看起来像这样:


[client]
ssl-ca = ~/client-ssl/ca.pem
ssl-cert = ~/client-ssl/client-cert.pem
ssl-key = ~/client-ssl/client-key.pem

ssl-ca选项告诉客户端验证MySQL服务器提供的证书是否由我们指向的证书颁发机构签名。 这允许客户端相信它正在连接到可信的MySQL服务器。

ssl-cert和ssl-key选项指向向MySQL服务器证明它也具有由相同证书颁发机构签名的证书所需的文件。 我们需要这个,如果我们想要MySQL服务器验证客户端也被CA信任。

保存并在完成后关闭文件。

现在,您可以连接到MySQL服务器,而不在命令行中添加–ssl-ca , –ssl-cert和–ssl-key选项:

mysql -u remote_user -p -h mysql_server_ip

您的客户端和服务器现在应该在协商连接时显示证书。 每个方都配置为根据本地CA证书验证远程证书。

8.结论

您的MySQL服务器现在应配置为要求远程客户端的安全连接。 此外,如果您按照步骤验证使用证书颁发机构的连接,双方建立一定程度的信任,远程方是合法的。

转载于:http://leanote.com/blog/post/5a732576ab64416bd600212d

 

背锅浩
关注
  • 9
    点赞
  • 72
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
mysql ssl_MySQL使用SSL连接
weixin_42676876的博客
01-18 1334
一、查看是否开启SSLmysql>showvariableslike'have_ssl';+---------------+-------+|Variable_name|Value|+---------------+-------+|have_ssl|YES|+---------------+-------+1rowinset(0.00sec...
MySQL配置SSL访问-配置 MySQL 使用加密连接
热门推荐
huryer的专栏
11-15 1万+
配置 MySQL 使用加密连接 通过 MySQL 客户端和服务器之间的未加密连接,可以访问网络的人可以监视您的所有流量并检查客户端和服务器之间发送或接收的数据。 当您必须以安全的方式通过网络移动信息时,未加密的连接是不可接受的。要使任何类型的数据不可读,请使用加密。加密算法必须包含安全元素以抵御多种已知攻击,例如更改加密消息的顺序或重放数据两次。 MySQL 使用 TLS(传输层安全)协议支持客户端和服务器之间的加密连接。TLS 有时被称为 SSL(安全套接字层),但 MySQL 实际上并不使用 SSL
Connections using insecure transport are prohibited while --required_secure_transport=ON
qq_16082527的博客
10-17 1440
当报这个错误的时候一般是由于mysql的服务端开启required_secure_transport=ON,在请求时候可以换成pymysql包来请求。对应flask_sqlalchemy。
MySQL JDBC连接串中sslMode含义、与useSSLrequireSSL的关系
最新发布
Oxye
05-31 1209
从Java连接MySQL连接属性中获取sslMode的含义。
DBEAVER Connections using insecure transport are prohibited while --require_secure_transport=ON.
DFireTesting的博客
03-05 1059
Connections using insecure transport are prohibited while --require_secure_transport=ON.
MYSQL 开启 SSL
sinat_37792529的博客
01-05 6125
mysql5.7以上开启并配置 ssl 超级简单的教程 1.执行以下命令: ##### mysql5.7 提供的 msyql_ssl_rsa_setup 功能,能直接生成ssl密钥和秘银(该文件一般再 mysql的bin目录下)##### ./mysql_ssl_rsa_setup --datadir=/data/mysql_ssl/ --user=mysql // --datadir=/data/mysql_ssl/ 是目标目录,如果没有需要先创建 执行结果: Gene...
mysql 客户端 ssl_如何为MySQL服务器和客户机启用SSL
weixin_42146230的博客
01-20 457
你只要查看MySQL错误日志文件(比如/var/log/mysql/mysql.log),就可以检查SSL配置有没有问题。要是错误日志中没有警告或错误(就像下面的屏幕截图),这表明SSL配置没有问题。验证SSL配置的另一个办法就是,在MySQL服务器里面再次运行“have_%ssl”查询。mysql> SHOW GLOBAL VARIABLES LIKE 'have_%ssl';创建拥有SS...
mysql openssl windows,win-mysql8开启ssl
weixin_29426299的博客
03-17 825
首先获取配置文件的路径,windows版本简明的方式就是查看mysql的服务,在启动参数中有配置文件的路径,如下:>sc qc mysql80[SC] QueryServiceConfig 成功BINARY_PATH_NAME : "C:\Program Files\MySQL\MySQL Server 8.0\bin\mysqld.exe" --defaults-file="C:\Prog...
Mysql启用SSL以及JDBC连接Mysql配置
敲代码的文科生的博客
11-25 7031
一、Mysql启用SSL配置 1.检查mysql是否支持ssl 在linux端用root账号进入mysql命令行界面,查看当前版本mysql数据库是否支持ssl,如果出现以下结果表示支持,如果没有考虑更换版本,或者编译一个带有SSL版本的mysql shell>show variables like ‘%ssl%’; 2.设置用户是否使用ssl连接 1.查看用户是否使用SSL连接 she...
MySQL 8.0开启SSL.docx
07-08
MySQL 8.0 开启 SSL 加密连接 MySQL 8.0 版本中,开启 SSL 加密连接是非常重要的,以确保数据传输的安全性。在本文中,我们将详细介绍如何在 MySQL 8.0 中开启 SSL 加密连接。 首先,我们需要了解什么是 SSL 加密...
mysql开启远程连接(mysql开启远程访问)
09-10
同时,定期更换用户密码,并启用SSL连接以增强安全性。 7. **测试连接**: 完成以上步骤后,可以从远程主机使用`mysql`客户端尝试连接,以确认设置是否正确。例如: ```bash mysql -h 8.8.8.8 -u root -p ``` ...
mysql设置指定ip远程访问连接实例
09-10
- 此外,定期更换密码,并启用SSL连接以加密传输数据,可以提高系统的安全性。 4. **验证连接**: - 设置完成后,可以在远程主机上尝试使用`mysql`命令行客户端或第三方工具(如MySQL Workbench)连接MySQL...
配置mysql允许远程连接的方法
09-10
MySQL数据库系统在默认设置下,只允许通过...总之,开启MySQL的远程连接涉及修改配置文件、赋权以及可能的防火墙设置调整。在整个过程中,一定要谨慎操作,确保系统的安全性。在测试无误后,再应用于生产环境。
mysql修改开启允许远程连接的方法
09-09
以下是一种详细的方法来修改MySQL设置,以开启远程连接。 1. **登录MySQL服务器** 首先,你需要通过命令行接口登录到MySQL服务器。在Windows操作系统中,可以打开DOS命令提示符并输入`mysql -u root -p`,然后输入...
MySQL——ssl加密连接
qtishero的博客
11-17 1965
mysql服务器端启用强制SSL加密。
MySQL加密连接与基于RSA的密码交换
w1346561235的博客
12-17 1009
随着mysql8.0的使用,mysql更换了创建用户时默认的密码认证插件,从之前的mysql_native_password插件更换为caching_sha2_password插件。新的插件要求使用连接加密的方式用于mysql server与client之间的tcp连接,或者如果不满足使用加密连接的条件下,改为使用通过rsa加密的密码交换。首先来看看加密连接。 先看一张图: 上面这张图描述了SSL/TLS协议在TCP/IP模型中的位置,Mysql通过在服务端与客户端之间的连接上使用ssl/tls协议实现
MySQL配置SSL加密连接
qq_39572257的博客
04-28 9137
环境: OS:centos7 MySQL: 5.7.33 一、MySQL开启ssl连接支持 查看是否开启 登录MySQL,运行如下命令: SHOW VARIABLES LIKE '%ssl%'; 如下图,表示已开启支持 开启ssl连接支持 若未开启,通过以下步骤: 关闭MySQL服务 运行如下命令: mysql_ssl_rsa_setup –-data-dir=/data/mysql-ssl --uid=mysql 其中:–-data-dir:指定证书和密钥存放位置;–uid:指定所属用户 查看生成的
MySQL 8.0.22 存在的一个数据导出的严重问题
冷月宫主的专栏
10-26 919
MySQL 8.0.21 存在的一个数据导出的严重问题 报告给MySQL官方的报告:https://bugs.mysql.com/bug.php?id=101315 导出数据被无故替换: 数据表中存储的原始数据: INSERT INTO fmmp.T_CHECK_RECORD(CHECK_RECORD_ID, STAMP, USER_ID, CHECK_POINTS_ID, IS_NORMAL, IS_LATENT_DANGER, LATENT_DANGER_TYPE, LATENT_D...
mysql5.7配置了证书(pem),但是have_ssl一直为DISABLED
Zq
03-08 9521
2021年底等级包含变得更加严格了,以前中风险的现在有变高风险了,其中一点就要求我们mysql开启ssl连接,然后故事和事故就来了。 说明下我的情况: 服务器:centos7 docker mysql镜像是:mysql:5.7 实际服务器版本为:5.7.31-log 我的解决过程是百度如何开启ssl,还有点搞笑,先教我用OpenSSL玩一遍,一堆命令,我第一次玩还要搞清楚他每个对话的意思,含义慢慢填写,这次已经有经验了快了不少,但还是恨没有先阅读一遍。用工具只需要一行命令就生成完事了(mysql_ssl_r
mysql 8 开启ssl
06-04
要在 MySQL 8 中启用 SSL,可以按照以下步骤操作: 1. 确保 MySQL 服务器已安装 SSL 支持。在安装 MySQL 时,请选择“安装 SSL 支持”选项。 2. 生成 SSL 证书和密钥。可以使用 OpenSSL 工具生成 SSL 证书和密钥,命令如下: ``` openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout mysql.key -out mysql.crt ``` 这将生成一个有效期为 365 天的自签名 SSL 证书和私钥。 3. 将 SSL 证书和密钥文件放置在 MySQL 服务器上,并确保它们的权限正确(可以使用 chmod 命令)。 4. 编辑 MySQL 配置文件 my.cnf,并在 [mysqld] 部分添加以下行: ``` ssl-ca=/path/to/mysql.crt ssl-cert=/path/to/mysql.crt ssl-key=/path/to/mysql.key ``` 其中,/path/to 是 SSL 证书和密钥文件的路径。 5. 重启 MySQL 服务器以使更改生效。 完成以上步骤后,MySQL 服务器将使用 SSL 加密进行安全连接。可以使用以下命令验证是否已启用 SSL: ``` mysql --ssl-mode=REQUIRED -u <username> -p ``` 其中,<username> 是 MySQL 用户名。如果成功连接MySQL 服务器,则说明已启用 SSL

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值