docker MariaDB使用SSL及使用OpenSSL生成自定义证书

最新推荐文章于 2024-03-25 19:44:21 发布
最新推荐文章于 2024-03-25 19:44:21 发布
阅读量1.2k 收藏 2
点赞数
分类专栏: MySQL、Oracle、MariaDB Docker 文章标签: ssl docker mariadb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43933728/article/details/127339092
版权

《docker安装MariaDB》

修改my.cnf

vi /docker_data/mariadb/conf/my.cnf

[client]
default-character-set=utf8mb4
[mysql]
default-character-set=utf8mb4
[mysqld]
character-set-server=utf8mb4
#增加ssl
ssl
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem

保存,重启MariaDB容器

docker restart mariadb-10.6.10

进入容器

docker exec -it mariadb-10.6.10 bash

登录mariadb

root@0619cfa2dcd1:/# mysql -uroot -p

查看是否开启ssl

MariaDB [(none)]> show variables like '%ssl%';
+---------------------+-----------------------------+
| Variable_name       | Value                       |
+---------------------+-----------------------------+
| have_openssl        | YES                         |
| have_ssl            | YES                         |
| ssl_ca              | ca.pem                      |
| ssl_cert            | server-cert.pem             |
| ssl_key             | server-key.pem              |
| version_ssl_library | OpenSSL 1.1.1f  31 Mar 2020 |
+---------------------+-----------------------------+

have_openssl和have_ssl必须为YES
创建必须使用ssl登录的账号

GRANT ALL PRIVILEGES ON *.* TO 'x'@'%' IDENTIFIED BY 'x' REQUIRE SSL;
FLUSH PRIVILEGES;

查看容器证书存放路径(没有的话,是因为你没生成。后面生成好了,重启一下MariaDB容器

root@0619cfa2dcd1:/# find / -name ca.pem
/var/lib/mysql/ca.pem

使用openssl生成自定义证书

由于安装的时候把/var/lib/mysql/目录映射到了宿主机的/docker_data/mariadb/data/目录,因此我直接去这个目录生成证书,然后下载到windows主机即可。
《MariaDB官方文档openssl生成自定义证书》

cd /docker_data/mariadb/data/

openssl genrsa 2048 > ca-key.pem

openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca.pem

openssl req -newkey rsa:2048 -days 365000 -nodes -keyout server-key.pem -out server-req.pem

openssl rsa -in server-key.pem -out server-key.pem

openssl x509 -req -in server-req.pem -days 365000 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

openssl req -newkey rsa:2048 -days 365000 -nodes -keyout client-key.pem -out client-req.pem

openssl rsa -in client-key.pem -out client-key.pem

openssl x509 -req -in client-req.pem -days 365000 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

完整示例如下

[root@node1 data]# cd /docker_data/mariadb/data/
[root@node1 data]# openssl genrsa 2048 > ca-key.pem
Generating RSA private key, 2048 bit long modulus
......................+++
...............................................................................................................+++
e is 65537 (0x10001)
[root@node1 data]# openssl req -new -x509 -nodes -days 365000 -key ca-key.pem -out ca.pem
-----
Country Name (2 letter code) [XX]:aa
State or Province Name (full name) []:a
Locality Name (eg, city) [Default City]:a
Organization Name (eg, company) [Default Company Ltd]:a
Organizational Unit Name (eg, section) []:a
Common Name  []:a
Email Address []:a

[root@node1 data]# openssl req -newkey rsa:2048 -days 365000 -nodes -keyout server-key.pem -out server-req.pem
Country Name (2 letter code) [XX]:bb
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:b
Organization Name (eg, company) [Default Company Ltd]:b
Organizational Unit Name (eg, section) []:b
Common Name[]:b
Email Address []:b

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

[root@node1 data]# openssl rsa -in server-key.pem -out server-key.pem
writing RSA key
[root@node1 data]# openssl x509 -req -in server-req.pem -days 365000 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
Signature ok
subject=/C=bb/L=b/O=b/OU=b/CN=b/emailAddress=b
Getting CA Private Key

[root@node1 data]# openssl req -newkey rsa:2048 -days 365000 -nodes -keyout client-key.pem -out client-req.pem
Country Name (2 letter code) [XX]:bb
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:b
Organization Name (eg, company) [Default Company Ltd]:b
Organizational Unit Name (eg, section) []:b
Common Name (eg, your name or your server's hostname) []:c
Email Address []:b

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

[root@node1 data]# openssl rsa -in client-key.pem -out client-key.pem
writing RSA key

[root@node1 data]# openssl x509 -req -in client-req.pem -days 365000 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
Signature ok
subject=/C=bb/L=b/O=b/OU=b/CN=c/emailAddress=b
Getting CA Private Key

验证证书

[root@node1 data]# openssl verify -CAfile ca.pem server-cert.pem client-cert.pem
server-cert.pem: OK
client-cert.pem: OK

查看证书的内容(例如,检查证书有效的日期范围)

openssl x509 -text -in ca.pem
openssl x509 -text -in server-cert.pem
openssl x509 -text -in client-cert.pem

window使用客户端SSL连接MariaDB

D:\softwareWork\mysql-8.0.23-winx64\bin>mysql --ssl-ca=C:\Users\x\Desktop/ca.pem --ssl-cert=C:\Users\x\Desktop/client-cert.pem --ssl-key=C:\Users\x\Desktop/client-key.pem --ssl-cipher=AES128-SHA -h 192.168.1.111 --port=3307 -u x -p
Enter password: *
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 8
Server version: 5.5.5-10.6.10-MariaDB-1:10.6.10+maria~ubu2004 mariadb.org binary distribution

Copyright (c) 2000, 2021, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> \s
--------------
mysql  Ver 8.0.23 for Win64 on x86_64 (MySQL Community Server - GPL)

Connection id:          8
Current database:
Current user:           x@192.168.1.105
SSL:                    Cipher in use is TLS_AES_256_GCM_SHA384
Using delimiter:        ;
Server version:         5.5.5-10.6.10-MariaDB-1:10.6.10+maria~ubu2004 mariadb.org binary distribution
Protocol version:       10
Connection:             192.168.1.111 via TCP/IP
Server characterset:    utf8mb4
Db     characterset:    utf8mb4
Client characterset:    gbk
Conn.  characterset:    gbk
TCP port:               3307
Binary data as:         Hexadecimal
Uptime:                 12 min 29 sec

Threads: 2  Questions: 16  Slow queries: 0  Opens: 17  Open tables: 10  Queries per second avg: 0.021

SSL: Cipher in use is TLS_AES_256_GCM_SHA384说明使用SSL加密连接

navicat使用SSL连接MariaDB

在这里插入图片描述
在这里插入图片描述

Meta39
关注
专栏目录
Mariadb(MySql)开启SSL简明教程
steptodream的专栏
11-11 1975
Mariadb,MySql开启SSL简明教程
docker mariadb集群_Docker之利用Dockerfile创建MariaDB Garela Cluester镜像
weixin_39845206的博客
12-19 367
摘要一句话就是,很蛋疼,为了实验用docker编译MariaDB Galera创建镜像,第一个自建的镜像,中间遇到很多的坑,感谢Google、github.com、hub.docker.com。镜像获取方法1、使用Dockerfile创建wget http://www.dwhd.org/wp-content/uploads/2015/11/MariaDB-Galera-Cluster.tar.gz...
Linux MariaDB使用OpenSSL安装SSL证书
Meta39的博客
10-11 1155
Linux MariaDB使用OpenSSL安装SSL证书
MySQL MariaDB SSL Connector (双向证书配置)
weixin_44102162的博客
07-13 815
MySQL、MariaDBSSL
MySQL(MariaDB)的 SSL 加密复制
weixin_34090562的博客
12-29 223
背景:       在默认的主从复制过程或远程连接到MySQL/MariaDB所有的链接通信中的数据都是明文的,在局域网内连接倒问题不大;要是在外网里访问数据或则复制,则安全隐患会被放大很多。由于项目要求需要直接和外网的一台实例进行同步。所以本文介绍下通过SSL加密的方式进行复制的方法,来进一步提高数据的安全性。本文会一起介绍MySQL和MariaDB。 环境搭建: 默认情况下ssl都是关闭...
使用Docker技术部署NextCloud
boliang319的专栏
04-07 3855
一、概述 NextCloud是一个开源的私有云服务器,可用于家庭及企业,有关NextCloud的详细说明可参看其官网(英文页面):https://nextcloud.com/。本文简要介绍如何使用Docker技术在Ubuntu 16.04上快速安装部署NextCloud服务器,大致的安装过程为: 安装ubuntu 16.04系统 安装配置Docker环境 安装配置mySql数据库 安装配...
使用docker制作nginx,mysql,php容器,实现lamp
Yanghu4112的博客
12-04 3063
nginx //拉去centos官方镜像 [root@192 docker]# docker pull centos Using default tag: latest latest: Pulling from library/centos a1d0c7532777: Pull complete Digest: sha256:a27fd8080b517143cbbbab9dfb7c8571c40d67d534bbdee55bd6c473f432b177 Status: Downloaded new..
Docker笔记一:基于Docker容器构建并运行 nginx + php + mysql ( mariadb ) 服务环境
热门推荐
熊猫猛男
01-04 1万+
在编辑Dockerfile过程中参考了以下相关范例:https://hub.docker.com/_/php/、https://hub.docker.com/_/mysql/、https://hub.docker.com/_/nginx/。在build镜像时可能报出异常“containerd: container not started”,此时可能需要重启containerd或系统。要删除某些无用...
linux之虚拟环境,Mariadb,redis使用
weixin_45163798的博客
12-31 255
1. Centos安装python3 1.1 安装软件的方法有哪几种 1 yum一键安装 2 rpm包安装(太麻烦,不推荐使用) 3 下载源码包,进行编译安装 1.2 安装python3的步骤 1.2.1下载python3源码包 wget https://www.python.org/ftp/python/3.6.6/Python-3.6.6.tgz (注:统一到opt目录下,方便管理) ...
mariadb(mysql)复制、备份以及启用ssl
weixin_33686714的博客
01-21 316
mariadb复制模型主从复制、半同步复制、双主复制、多主复制、以及启用ssl环境:虚拟机CentOS6.5x64 mariadb-10.0.23mariadb编译安装方式和mysql类同mariadb下载地址https://downloads.mariadb.org/ 原理:mysql的复制是将主服务器的二进制日志发往从服务器,从服...
Mysql(Mariadb) 主从更改为SSL加密方式
DATA
12-18 1877
最近半年太忙,没有更新多少内容,今天测试了Mysql主从的SSL加密访问方式。现将测试笔记列于此,深层原理未细究,如有错误之处,烦请指出。 一。概述: 1.架构: 2主2从,从同时只连1个主,可以自由在这2个主库之间做切换。 2.假设2主2从,已经配好,使用的是GTID的连接方式。本文只需要将此改为SSL连接 3.具体信息如下: master1:   hostname: d
MariaDB 10.3.14安装及配置ssl
dendy的博客
04-12 4550
下载MariaDB 请自行选择适合版本 https://mariadb.com/downloads/ 我用的CentOS6 wget https://downloads.mariadb.com/MariaDB/mariadb-10.3.14/yum/centos/mariadb-10.3.14-rhel-6-x86_64-rpms.tar tar xf mariadb-10.3.14-rhel...
Mariadb基于ssl的主从复制
weixin_33816611的博客
02-24 148
Mariadb基于ssl的主从复制一、前言备份数据库是生产环境中的首要任务,重中之重。一般配置中mariadb的主从传输是明文传输,但是有时候对一些特殊业务来说是不允许的,为了保证数据在传输过程中的安全性,因此使用基于SSL的复制会大大加强数据的安全性。二、准备工作1、实验系统环境:CentOS7.2,SELinux关闭,iptables关闭,安装openssl组件,mari...
云原生之使用Docker部署Mariadb数据库
杨荧的CSDN博客
11-06 4117
云原生是一种应用程序开发和交付的方法论,旨在更好地利用云计算的优势和特性。它提倡将应用程序设计为以云为基础的环境中运行,并充分利用云计算的弹性、可扩展性和可靠性
mysql主从备份 ssl_MySQL DB 主从复制之SSL
weixin_34513436的博客
01-26 150
需求架构准备工作主从服务器时间同步# 主从服务器同时配置crontab任务,与NTP服务器同步时间即可*/5 * * * * ntpdate 172.16.0.1 &>/dev/null部署配置主库配置vi /etc/my.cnfserver-id = 1# 在复制架构中,需保持全局唯一log-bin = mysql-bin # 默认在数据目录下sync_binlog= 1# 设置m...
漏洞修复方法:Oracle MySQL/MariaDB 全漏洞(CVE-2022-0778)、SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】、Harbor 代码问题漏洞(CV
最新发布
weixin_54626591的博客
03-25 2087
Oracle MySQL/MariaDB 全漏洞(CVE-2022-0778)、SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】、Harbor 代码问题漏洞(CV
Mysql配置ssl证书
乐维社区的博客
04-30 3467
本环境基于mysql5.6配置,通过openssl生成证书进行配置 一、确认环境信息 1、查看数据库版本 mysql> select version(); ±----------+ | version() | ±----------+ | 5.6.36 | ±----------+ 2、查看数据库是否支持ssl配置 mysql> show variables like ‘have%ss...
mysql启用ssl
吴业亮的专栏
03-08 3572
作者:【吴业亮】 博客:https://wuyeliang.blog.csdn.net/ 1、制作ssl证书 [root@www ~]# cd /etc/pki/tls/certs [root@www certs]# make server.key umask 77 ; \ /usr/bin/openssl genrsa -aes128 2048 > server.key Generatin...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值