新发现:
安装Mysql8后,查看datadir, 文件多了不少,发现都是SSL加密对应得文件*.pem
# pwd;ls -l *.pem
/data/mysqldata
-rw------- 1 mysql mysql 1676 3月 30 11:25 ca-key.pem
-rw-r--r-- 1 mysql mysql 1112 3月 30 11:25 ca.pem
-rw-r--r-- 1 mysql mysql 1112 3月 30 11:25 client-cert.pem
-rw------- 1 mysql mysql 1676 3月 30 11:25 client-key.pem
-rw------- 1 mysql mysql 1676 3月 30 11:25 private_key.pem
-rw-r--r-- 1 mysql mysql 452 3月 30 11:25 public_key.pem
-rw-r--r-- 1 mysql mysql 1112 3月 30 11:25 server-cert.pem
-rw------- 1 mysql mysql 1676 3月 30 11:25 server-key.pem
SSL加密并不是Mysql8才开始有的功能,但是在Mysql8之前的版本,这个是需要openssl手动生成或者使用mysql_ssl_rsa_setup生成密钥与证书,从Mysql8开始,在安装mysql时自动安装并且打开该功能
SSL加密(Secure Socket layer):
如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的,而这给别有用心的人带来了可乘之机。同样地,在我们数据库方面,如果客户端连接服务器获取数据不是使用SSL连接,那么在传输过程中,数据就有可能被窃取
文件说明:
ca.pem Self-signed CA certificate -->客户端连接需要使用
ca-key.pem CA private key
server-cert.pem Server certificate
server-key.pem Server private key
client-cert.pem Client certificate -->客户端连接需要使用
client-key.pem Client private key -->客户端连接需要使用
启动时产生RSA密钥对
private_key.pem Private member of private/public key pair
public_key.pem Public member of private/public key pair
数据库设置:
连到数据库查看参数的设置
mysql> show variables like '%ssl%';
+--------------------+-----------------+
| Variable_name | Value |
+--------------------+-----------------+
| have_openssl | YES |
| have_ssl | YES |
| mysqlx_ssl_ca | |
| mysqlx_ssl_capath | |
| mysqlx_ssl_cert | |
| mysqlx_ssl_cipher | |
| mysqlx_ssl_crl | |
| mysqlx_ssl_crlpath | |
| mysqlx_ssl_key | |
| ssl_ca | ca.pem |
| ssl_capath | |
| ssl_cert | server-cert.pem |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_fips_mode | OFF |
| ssl_key | server-key.pem |
+--------------------+-----------------+
17 rows in set (0.00 sec)
have_ssl: 表示服务器支持ssl连接了
ssl_ca /ssl_cert / ssl_key 参数代表对应的证书文件
客户端连接:
服务器端:创建两个用户,一个为使用ssl,一个不使用ssl
mysql> create user 'norusr'@'%' identified by 'test';
Query OK, 0 rows affected (0.01 sec)
mysql> create user 'sslusr'@'%' identified by 'test' require x509;
Query OK, 0 rows affected (0.00 sec)
客户端端:
# mysql -unorusr -h172.16.79.232 -ptest ==>正常连接
mysql>
# mysql -usslusr -h172.16.79.232 -ptest ==>无法连接,报Access denied
ERROR 1045 (28000): Access denied for user 'sslusr'@'mgr3' (using password: YES)
此时需要把服务器端的ca.perm / client-cert.perm / client-key.perm 拷贝到客户端,并更改文件的权限,连接时指定ssl-ca/ssl-cert/ssl-key参数
chown mysql:mysql ca.perm
chown mysql:mysql client-cert.perm
chown mysql:mysql client-key.perm
$ mysql -usslusr -h172.16.79.232 -ptest --ssl-ca=/data/ssl232/ca.pem --ssl-cert=/data/ssl232/client-cert.pem --ssl-key=/data/ssl232/client-key.pem
mysql>