等保: Mysql配置ssl链接

最新推荐文章于 2024-04-24 23:13:35 发布
最新推荐文章于 2024-04-24 23:13:35 发布
阅读量2.5k 收藏 8
点赞数
分类专栏: Promote 文章标签: mysql ssl 数据库 等保 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43557605/article/details/126371218
版权

文章目录

1 说明

1.1 方案说明

公司某SaaS平台在做等保3.0评测,等保3.0要求数据库使用ssl链接。这个SaaS平台主体为Java服务,结合等保的要求对平台做了mysql的双向认证ssl链接。

mysql的ssl链接方案包括两个重要的部分,一个是mysql服务端如何操作,另外一个是mysql的客户端证书调整,也就是平台中使用mysql的服务。

在做mysql的ssl链接方案的过程中,有一些坑,在SaaS环境出现,在内网环境未复现,这些问题对笔者造成很大困扰,后经公司架构师的协助排查解决,在后续的上线中问题才的已解决。本方案也会对容易造成ssl链接失败的点加以说明,给做等保的同学一些参考。

1.2 操作说明

如下具体操作中有几个需要注意的点 建议读者根据自己的实际情况进行修改

  • 生成证书的操作建议使用mysql的运行用户 避免证书权限不一致 导致mysql无法读取证书 文中使用的是cwise 更换为自己的实际用户
  • 生成证书的时间 命令中是36500天 可以自行更改
  • 如下演示的代码中 mysql的安装目录是/data/app/mysql 证书的存放目录是/data/app/mysql/certs 读者在参考的时候 根据自己环境的实际情况更换目录即可
  • 如下演示中 授权的用户是mysql 要根据实际情况进行修改 改为自己环境使用的链接mysql的用户
  • MysqlPass@777为示例密码 可以使用这个密码 建议根据实际情况设置自己的

2 方案操作与说明

2.1 Mysql服务端调整

2.1.1 证书生成及验证

生成服务端证书

# 创建证书目录
[root@localhost mysqlData]# su cwise
[cwise@localhost mysqlData]$ cd /data/app/mysql/
[cwise@localhost mysql]$ mkdir certs && cd certs

# 生成服务器证书
[cwise@localhost certs]$ openssl genrsa 2048 > ca-key.pem
Generating RSA private key, 2048 bit long modulus
...........................+++
..............+++
e is 65537 (0x10001)
[cwise@localhost certs]$ openssl req -sha1 -new -x509 -nodes -days 36500 -key ca-key.pem > ca-cert.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:mysql
Email Address []:

[cwise@localhost certs]$ openssl req -sha1 -newkey rsa:2048 -days 36500 -nodes -keyout server-key.pem > server-req.pem
Generating a 2048 bit RSA private key
........................................+++
..............................................................................................+++
writing new private key to 'server-key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:mysql1
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

[cwise@localhost certs]$ openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd/CN=mysql1
Getting CA Private Key

[cwise@localhost certs]$ openssl rsa -in server-key.pem -out server-key.pem
writing RSA key

生成客户端证书

[cwise@localhost certs]$ openssl req -sha1 -newkey rsa:2048 -days 36500 -nodes -keyout client-key.pem > client-req.pem
Generating a 2048 bit RSA private key
...............................................+++
.+++
writing new private key to 'client-key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:mysql2
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

[cwise@localhost certs]$ openssl x509 -sha1 -req -in client-req.pem -days 36500 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem
Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd/CN=mysql2
Getting CA Private Key

[cwise@localhost certs]$ openssl rsa -in client-key.pem -out client-key.pem
writing RSA key

验证证书是否成功 如下返回两个OK则没有问题

[cwise@localhost certs]$ openssl verify -CAfile ca-cert.pem server-cert.pem client-cert.pem
server-cert.pem: OK
client-cert.pem: OK

2.1.2 证书配置

修改mysql配置

[cwise@localhost mysql]$ vim /data/app/mysql/my.cnf
# [client]下添加
ssl-cert=/data/app/mysql/certs/client-cert.pem
ssl-key=/data/app/mysql/certs/client-key.pem
# [mysqld]下添加
ssl-ca=/data/app/mysql/certs/ca-cert.pem
ssl-cert=/data/app/mysql/certs/server-cert.pem
ssl-key=/data/app/mysql/certs/server-key.pem

重启mysql服务

bash /data/app/mysql/scripts/mysql restart

登录mysql进行授权 强制使用ssl链接

mysql> revoke ALL PRIVILEGES ON *.* FROM 'mysql'@'%';
Query OK, 0 rows affected (0.00 sec)

mysql> show grants for mysql@'%';
+----------------------------------------+
| Grants for mysql@%                   |
+----------------------------------------+
| GRANT USAGE ON *.* TO 'mysql'@'%' |
+----------------------------------------+
1 row in set (0.00 sec)
mysql> GRANT ALL PRIVILEGES ON *.* TO 'mysql'@'%' identified by 'MysqlPass@777' REQUIRE SSL;
Query OK, 0 rows affected, 1 warning (0.00 sec)

mysql> GRANT ALL PRIVILEGES ON *.* TO 'mysql'@'localhost' identified by 'MysqlPass@777';
Query OK, 0 rows affected, 1 warning (0.01 sec)

mysql> flush privileges;
Query OK, 0 rows affected (0.00 sec)

mysql> show grants for mysql@'%';
+-------------------------------------------------+
| Grants for mysql@%                         |
+-------------------------------------------------+
| GRANT ALL PRIVILEGES ON *.* TO 'mysql'@'%' |
+-------------------------------------------------+
1 row in set (0.00 sec)

测试使用证书连接mysql

[cloudwise@localhost certs]$ /data/app/mysql/bin/mysql --ssl-ca=ca-cert.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem  -u mysql -pMysqlPass@777
mysql: [Warning] Using a password on the command line interface can be insecure.
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 2
Server version: 10.10.10-log Source distribution

Copyright (c) 2000, 2021, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

You are enforcing ssl conection via unix socket. Please consider
switching ssl off as it does not make connection via unix socket
any more secure.
mysql>

You are enforcing ssl conection via unix socket. Please consider switching ssl off as it does not make connection via unix socket any more secure. 这个报错可以忽略 它是说 我们当前使用的socket链接的mysql 使用ssl也并不能比socket链接更安全

查看ssl状态

mysql> status;
--------------
/data/app/mysql/bin/mysql  Ver 14.14 Distrib 10.10.10, for Linux (x86_64) using  EditLine wrapper

Connection id:                5
Current database:
Current user:                Rootmaster@localhost
SSL:                        Cipher in use is DHE-RSA-AES128-GCM-SHA256
Current pager:                stdout
Using outfile:                ''
Using delimiter:        ;
Server version:                10.10.10-log Source distribution
Protocol version:        10
Connection:                Localhost via UNIX socket
Server characterset:        utf8
Db     characterset:        utf8
Client characterset:        utf8
Conn.  characterset:        utf8
UNIX socket:                /data/appData/mysql/mysql.sock
Uptime:                        1 min 25 sec

Threads: 1  Questions: 14  Slow queries: 0  Opens: 98  Flush tables: 1  Open tables: 25  Queries per second avg: 0.164
--------------

2.2 Java客户端调整

2.2.1 将客户端密钥和证书文件转换为 PKCS 12 存档

openssl pkcs12 -export -in client-cert.pem -inkey client-key.pem -name "cwmysqlclient" -passout pass:certPass123 -out client-keystore.p12

2.2.2 将证书放到Java服务中

如果服务是非容器化部署的 可以里直接在服务的目录下创建一个存放证书的目录 例如/data/app/java_service_name/certs
将truststore/client-keystore.p12放到这个目录里

如果是容器化的部署方案 需要创建secret或者configmap 然后挂载到pod里 直接更改deployment的yaml即可

2.2.3 更改jdbc链接参数

在原有的jdbc参数后 添加如下参数

useSSL=true&requireSSL=true&&verifyServerCertificate=true&trustCertificateKeyStoreUrl=file:/data/app/java_service_name/certs/truststore&trustCertificateKeyStorePassword=certPass123&clientCertificateKeyStoreUrl=file:/data/app/java_service_name/certs/client-keystore.p12&clientCertificateKeyStorePassword=certPass123

2.2.4 重启java服务

操作 略

3 避坑指南

3.1 证书核验出错: error 18 at 0 depth lookup:self signed certificate

检查客户端、服务端证书是否可用的时候提示这个报错
注意 服务端证书、客户端证书、根证书, 三者的CN(Common Name)不可以一样,一样会有这个报错。
按照如上的步骤操作 这步不会出错

3.2 云主机拦截Java服务的mysql请求

按照上述步骤操作后,如果云主机购买了企业安全检查等服务,那么Java服务连接mysql的请求可能会被认为是对mysql的暴力破解,以华为云为例,mysql的主机会有类似下边的iptables规则 及时你iptables -F 过一会就会再加上

Chain INPUT (policy ACCEPT)
target     prot opt source               destination         
IN_HIDS_MYSQLD_BIP_DROP  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:3306
IN_HIDS_MYSQLD_DENY_DROP  tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:3306
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination         
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         
 
Chain IN_HIDS_MYSQLD_BIP_DROP (1 references)
target     prot opt source               destination         
 
Chain   (1 references)
target     prot opt source               destination         
LOG        all  --  10.21.xxx.xxx        0.0.0.0/0            LOG flags 0 level 4 prefix "mysqld_drop: "
REJECT     all  --  10.21.xxx.xxx        0.0.0.0/0            reject-with icmp-port-unreachable

说到底 还是上边的ssl整数有问题 Java客户端拿着并不是完全匹配的证书来链接mysql 因为证书不匹配 自然无法正常连接mysql 因而别识别为对mysql的暴力破解

这个操作很隐蔽 也对我们造成了很大的困扰,走了一些弯路才找到解决办法
具体如下

  • 根证书的Common Name字段的值置空
  • 服务端证书的Common Name字段的值设置为mysql数据库的ip 必须是真是ip vip不可以
  • 客户端证书的Common Name字段的值设置为连接mysql使用的用户名

如上操作 重新生成证书后 更换mysql和Java服务的证书 并重启服务 问题可以得到解决

Herb6876
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
mosquitto日志报错SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca
weixin_34363171的博客
04-09 8040
参考文章 Mosquitto服务器的搭建以及SSL/TLS安全通信配置 Mosquitto SSL Configuration -MQTT TLS Security 读者Abhinav Saxena的评论 OpenSSL - error 18 at 0 depth lookup:self signed certificate 系统版本...
MySQL配置SSL连接
奇怪的老司机
06-03 752
1,服务器上安装了MySQL但并未初始化,需切换到安装目录下执行下面的程序来生成ssl-key,数据目录中的pem文件即各种证书。如下图:./bin/mysql_ssl_rsa_setup2,服务器上的MySQL服务器已经初始化并在运行中,需先关闭mysql服务,再执行mysql_ssl_rsa_setup来生成证书。不能在运行时生成证书,配置完成后再重启服务,那样会导致ssl配置不生效。3,修...
Mysql5.7开启SSL并且支持Springboot客户端验证
weixin_42911645的博客
09-30 4022
--ssl:表示 MySQL 服务端允许加密连接,这个启动参数MySQL5.7默认启用 系统变量: require_secure_transport:指定是否要求客户端使用加密连接。默认值为 OFF,如果 ON,则表示客户端必须
用 OpenSSL 创建 CA 根证书
qq_27379251的博客
01-08 1904
用 OpenSSL 创建 CA 根证书 //产生CA根证书私钥 //这个命令是产生 2048bit 长度的RSA秘钥文件,这个秘钥通过一个加密算法加密,在测试时输入的密码是abcd openssl genrsa -des3 -out caStudy.key 2048 //生成CA根证书 //在这个命令中首先要输入上面产生秘钥时输入的密码,然后分别输入国家公司等信息 //在填写 Common Na...
MySQL数据库SSL连接测试
最新发布
sunny05296的博客
04-24 944
环境信息:Centos7 + MySQL 5.7.21。在该环境上进行SSL连接测试。
MySQL配置SSL加密连接
qq_39572257的博客
04-28 9191
环境: OS:centos7 MySQL: 5.7.33 一、MySQL开启ssl连接支持 查看是否开启 登录MySQL,运行如下命令: SHOW VARIABLES LIKE '%ssl%'; 如下图,表示已开启支持 开启ssl连接支持 若未开启,通过以下步骤: 关闭MySQL服务 运行如下命令: mysql_ssl_rsa_setup –-data-dir=/data/mysql-ssl --uid=mysql 其中:–-data-dir:指定证书和密钥存放位置;–uid:指定所属用户 查看生成的
MySQLSSL 连接配置
weixin_48329549的博客
11-10 1937
mysql数据库,ca证书创建,ssl配置
MySQL 使用 SSL 连接配置详解
12-16
查看是否支持 SSL 首先在 MySQL 上执行如下命令, 查询是否 MySQL 支持 SSL: mysql> SHOW VARIABLES LIKE 'have_ssl'; +---------------+-------+ | Variable_name | Value | +---------------+-------+ | have_ssl | YES | +---------------+-------+ 1 row in set (0.02 sec) 当 have_ssl 为 YES 时, 表示此时 MySQL 服务已经支持 SSL 了. 如果是 DESABLE, 则
多种不同的 MySQLSSL 配置
09-10
MySQLSSL配置是确保数据库连接安全的重要手段,特别是在远程访问、复制以及企业网络环境中。SSL(Secure Sockets Layer)...正确配置SSL能增强数据库的安全性,同时要定期评估和更新配置以适应不断变化的安全需求。
MySQL配置SSL主从复制
09-09
MySQL配置SSL主从复制是为了确保数据在主从节点之间的传输是安全的,通过加密通信防止数据在传输过程中被窃取或篡改。SSL(Secure Sockets Layer)是一种广泛使用的网络安全协议,可以为网络通信提供加密处理,确保...
MySQL 8.0开启SSL.docx
07-08
MySQL 8.0 开启 SSL 加密连接 ...开启 MySQL 8.0 的 SSL 加密连接需要完成生成证书和密钥、配置 MySQL、重启 MySQL 和验证连接四个步骤。通过这些步骤,我们可以确保 MySQL 数据库的安全性和数据传输的安全性。
python数据写入到excel不同sheet_Python3 pandas库 (32) 将数据写入Excel多个sheet
weixin_39892800的博客
11-20 1068
在实际使用报表的时候,常常是一个excel文件里面包含多个sheet,这些sheet放在一个文件里面方便管理,也方便阅读。将数据内容分开存在不同的sheet里面是excel经常遇到的操作。操作多了,单调重复的动作也让人生烦。那么能不能用pandas批量处理这些繁琐的操作呢?答案自然是可以,想一想只要运行一个py文件就能将n多内容分到n个sheet里面,那是多么爽啊。那该怎么操作呢?下面是思考时间其...
centos7下mysql8.0.29的安装以及开启ssl访问
oLingTing的博客
07-08 1236
2 修改mysql的一些配置信息 启动服务systemctl start mysqld.service查看初始密码grep ‘temporary password’ /var/log/mysqld.log | awk ‘{print$13}’,最好赋值下 登录并修改密码为Mysql-new 修改密码策略使之可以设置简单密码 修改密码策略使之可以设置简单密码......
mysqlssl连接失败_MySQL数据库SSL连接失败
weixin_31183253的博客
01-18 3287
我有一个运行在amazonec2实例(linux)上的python脚本,它从源代码中获取数据并输出pandas数据帧给我。我想把这个数据帧发送到amazonrds上的MySQL。但是当我运行脚本时,它会抛出以下错误:在sqlalchemy.exc.InterfaceError: (mysql.connector.errors.InterfaceError)2026(HY000):SSL连接错误:S...
mysqlssl连接不上_无法连接到 MySQLSSL 和授权问题) - Amazon QuickSight
weixin_42497772的博客
02-07 931
MySQL 中,运行以下命令。show status like 'Ssl%';如果 SSL 正在运行,将看到类似于下面的结果。+--------------------------------+----------------------+| Variable_name | Value |+--------------------...
等保三级--Mysql登录认证使用ssl加密协议
qq_16557863的博客
11-30 161
配置ssl加密协议或者sha256加密协议。
Shell脚本实现生成SSL自签署证书
sakura379的博客
05-08 3231
这篇文章主要介绍了Shell脚本实现生成SSL自签署证书,本文直接给出实现代码,代码中包含大量注释,需要的朋友可以参考下 启用 apache 的 mod_ssl 之后需要有证书才能正常运作。写了个脚本来操作。首先要确定机器上已经有 openssl 。 复制代码 代码如下: #!/bin/sh ssl 证书输出的根目录。 sslOutputRoot="/etc/apache_ssl" if [ $...
linux ssl 脚本 51cto,ssl自签证书脚本
weixin_42516021的博客
05-04 155
#!/bin/sh##ssl证书输出的根目录。sslOutputRoot="/etc/apache_ssl"if[$#-eq1];thensslOutputRoot=$1fiif[!-d${sslOutputRoot}];thenmkdir-p${sslOutputRoot}ficd${sslOutputRoot}echo"开始创建CA根证书..."##创建C...
mysql5.6配置ssl
06-08
配置 MySQL 5.6 的 SSL,可以按照以下步骤进行: 1. 生成 SSL 证书和密钥文件 可以使用 OpenSSL 工具生成 SSL 证书和密钥...配置完成后,客户端连接 MySQL 时需要使用 SSL 连接,具体方法可以参考 MySQL 官方文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值