MySQL怎麼使用SSL串連配置 MySQL使用SSL串連配置的方法

查看是否支援 SSL

首先在 MySQL 上執行如下命令, 查詢是否 MySQL 支援 SSL:

mysql> SHOW VARIABLES LIKE 'have_ssl'; +---------------+-------+ | Variable_name | Value | +---------------+-------+ | have_ssl | YES | +---------------+-------+ 1 row in set (0.02 sec)

當 have_ssl 為 YES 時, 表示此時 MySQL 服務已經支援 SSL 了. 如果是 DESABLE, 則需要在啟動 MySQL 服務時, 使能 SSL 功能.

使用 OpenSSL 建立 SSL 憑證和私密金鑰

首先我們需要使用 openssl 來建立伺服器端的認證和私密金鑰. 我使用的 openssl 版本為：

>>> /usr/local/Cellar/openssl/1.0.2j/bin/openssl version OpenSSL 1.0.2j 26 Sep 2016

建立一個 ~/temp/cert 目錄, 用於存放產生的認證和私密金鑰

mkdir ~/temp/cert cd ~/temp/cert

建立 CA 私密金鑰和 CA 憑證

然後, 我們先來產生一個 CA 私密金鑰：

openssl genrsa 2048 > ca-key.pem

當有了一個 CA 私密金鑰, 我們接下來就可以使用這個私密金鑰產生一個新的數位憑證：

openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

執行這個命令時, 會需要填寫一些問題, 隨便填寫就可以了. 例如：

>>> openssl req -sha1 -new -x509 -nodes -days 3650 -keyca-key.pem > ca-cert.pem  You are abouttobe askedtoenter information that will be incorporated intoyour certificate request. What you are abouttoenteriswhatiscalled a DistinguishedNameora DN. There are quite a few fields but you can leavesomeblank Forsomefields there will be adefaultvalue, If you enter'.', the field will beleftblank. ----- CountryName(2 letter code) [AU]:CN StateorProvinceName(fullname) [Some-State]:Beijing LocalityName(eg, city) []:Beijing OrganizationName(eg, company) [Internet Widgits Pty Ltd]:xys Organizational UnitName(eg,section) []:xys CommonName(e.g. server FQDNorYOURname) []:xys Email Address []:yongshun1228@gmail.com

執行上述命令後, 我們就有了一個 CA 私密金鑰和一個 CA 憑證.

建立伺服器端的 RSA 私密金鑰和數位憑證

接著, 我們需要建立伺服器端的私密金鑰和一個認證請求檔案, 命令如下：

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

上面這個命令會產生一個新的私密金鑰(server-key.pem), 同時會使用這個新私密金鑰來產生一個認證請求檔案(server-req.pem).

上面這個命令同樣需要回答幾個問題, 隨便填寫即可. 不過需要注意的是, A challenge password 這一項需要為空白.

即：

>>> openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem Generating a 2048 bit RSA private key .................+++ ..+++ writing new private key to'server-key.pem' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter'.', the field will be left blank. ----- Country Name (2 letter code) [AU]:CN State or Province Name (full name) [Some-State]:Beijing Locality Name (eg, city) []:Beijing Organization Name (eg, company) [Internet Widgits Pty Ltd]:xys Organizational Unit Name (eg, section) []:xys Common Name (e.g. server FQDN or YOUR name) []:xys Email Address []:yongshun1228@gmail.com Please enter the following'extra'attributes to be sent with your certificate request A challenge password []: An optional company name []:

下一步, 我們需要將產生的私密金鑰轉換為 RSA 私密金鑰檔案格式：

openssl rsa -in server-key.pem -out server-key.pem

最後一步, 我們需要使用原先產生的 CA 憑證來產生一個伺服器端的數位憑證:

openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

上面的命令會建立以伺服器端的數位憑證檔案.

建立用戶端的 RSA 私密金鑰和數位憑證

和伺服器端所執行的命令類似, 我們也需要為用戶端產生一個私密金鑰和認證請求檔案, 命令如下：

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem

同樣地, 我們需要將產生的私密金鑰轉換為 RSA 私密金鑰檔案格式：

openssl rsa -in client-key.pem -out client-key.pem

最後, 我們也需要為用戶端建立一個數位憑證：

openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem

使用工具建立認證與私密金鑰

前面我們介紹了如何使用 OpenSSL 來建立 SSL 串連的私密金鑰和認證檔案, 現在我們來看一個更簡單的方法.

在 MySQL 5.7 中, 提供了一個名為 mysql_ssl_rsa_setup 的工具, 通過它, 我們可以很方便地建立 SSL 串連所需要的各種檔案：

mkdir~/temp/cert cd~/temp/cert mysql_ssl_rsa_setup --datadir ./

上面的命令中, --datadir 表示產生的檔案的目錄.

當執行了上述命令後, 也會產生八個檔案:

ca-key.pem ca.pem client-cert.pem client-key.pem private_key.pem public_key.pem server-cert.pem server-key.pem

這些檔案和我們使用 OpenSSL 所建立的那八個檔案的作用是一樣的, 這裡就不再詳述了。

SSL 配置

在前面的步驟中, 我們已經產生了8個檔案, 分別是:

ca-cert.pem: CA 憑證, 用於產生伺服器端/用戶端的數位憑證.

ca-key.pem: CA 私密金鑰, 用於產生伺服器端/用戶端的數位憑證.

server-key.pem: 伺服器端的 RSA 私密金鑰

server-req.pem: 伺服器端的認證請求檔案, 用於產生伺服器端的數位憑證.

server-cert.pem: 伺服器端的數位憑證.

client-key.pem: 用戶端的 RSA 私密金鑰

client-req.pem: 用戶端的認證請求檔案, 用於產生用戶端的數位憑證.

client-cert.pem: 用戶端的數位憑證.

接下來我們就需要分別設定管理員端和用戶端.

伺服器端配置

伺服器端需要用到三個檔案, 分別是: CA 憑證, 伺服器端的 RSA 私密金鑰, 伺服器端的數位憑證, 我們需要在 [mysqld] 佈建網域下添加如下內容：

[mysqld] ssl-ca=/etc/mysql/ca-cert.pem ssl-cert=/etc/mysql/server-cert.pem ssl-key=/etc/mysql/server-key.pem

接著我們還可以更改 bind-address, 使 MySQL 服務可以接收來自所有 ip 地址的用戶端, 即：

bind-address = *

當配置好後, 我們需要重啟 MySQL 服務, 使能配置.

最後一步, 我們添加一個需要使用 SSL 才可以登入的帳號, 來驗證一下我們所配置的 SSL 是否生效:

代碼如下：

GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL; FLUSH PRIVILEGES;

當配置好後, 使用 root 登入 MySQL, 執行 show variables like '%ssl%' 語句會有如下輸出:

mysql> show variableslike'%ssl%'; +---------------+-----------------+ | Variable_name | Value      | +---------------+-----------------+ | have_openssl | YES       | | have_ssl   | YES       | | ssl_ca    | ca.pem     | | ssl_capath  |         | | ssl_cert   | server-cert.pem | | ssl_cipher  |         | | ssl_crl    |         | | ssl_crlpath  |         | | ssl_key    | server-key.pem | +---------------+-----------------+ 9rowsinset(0.01 sec)

用戶端配置

用戶端配置相對簡單一些. 首先我們需要拷貝 ca-cert.pem, client-cert.pem 和 client-key.pem 這三個檔案到用戶端主機中, 然後我們可以執行如下命令來使用 SSL 串連 MySQL 服務：

mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -h host_name -u ssl_test -p

除了上述的使用命令列方式配置 SSL 外, 我們也可以使用設定檔的方式. 即在 ~/.my.cnf 檔案中添加如下內容即可:

[client] ssl-ca=/path/to/ca-cert.pem ssl-cert=/path/to/client-cert.pem ssl-key=/path/to/client-key.pem

當串連成功後, 我們執行如下指令

mysql> \s -------------- mysql Ver 14.14 Distrib 5.7.17,forLinux (x86_64) using EditLine wrapper Connectionid:    14 Currentdatabase: Currentuser:    ssl_test@172.17.0.4 SSL:      CipherinuseisDHE-RSA-AES256-SHA Currentpager:    stdout Using outfile:   '' Using delimiter:  ; Server version:    5.7.17 MySQL Community Server (GPL) Protocol version:  10 Connection:    test_db via TCP/IP Server characterset:  latin1 Db   characterset:  latin1 Client characterset:  latin1 Conn. characterset:  latin1 TCP port:    3306 Uptime:      1hour2min9 sec Threads: 1 Questions: 23 Slow queries: 0 Opens: 126 Flush tables: 3Opentables: 0 Queries persecondavg: 0.006 --------------

如果輸出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 之類的資訊, 則表示已經使用 SSL 來串連了.

在 Docker 中使能 MySQL SSL 串連

上面我們簡單介紹了一下如果使能 MySQL SSL 串連, 那麼現在我們使用 Docker 來具體的實戰一把吧!

首先拉取最新的 MySQL 鏡像：

docker pull mysql

然後需要準備一下掛載到 Docker 容器的目錄結構:

>>>cd~/temp >>> tree . ├── cert │  ├── ca-key.pem │  ├── ca.pem │  ├── client-cert.pem │  ├── client-key.pem │  ├── private_key.pem │  ├── public_key.pem │  ├── server-cert.pem │  └── server-key.pem ├── config │  └── my.cnf └── db 3 directories, 9 files

在 temp 目錄下有三個子目錄:

cert 目錄用於存放我們先前產生的認證和私密金鑰資訊;

config 目錄用於存放 MySQL 服務的設定檔

db 目錄是用於存放 MySQL 的資料.

下一步我們需要使用如下命令啟動 MySQL 容器:

代碼如下：

docker run --rm --name test_db -p 10000:3306 -e MYSQL_ROOT_PASSWORD=root -v /Users/xiongyongshun/temp/db:/var/lib/mysql -v /Users/xiongyongshun/temp/config:/etc/mysql/conf.d -v /Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql:latest

我們在上面的命令中, 我們分別掛載了 cert, config, db 這三個宿主機上的目錄到 MySQL 容器中.

啟動了 MySQL 服務後, 可以先使用 root 帳號登入 MySQL, 來檢查 MySQL 服務此時是否已經開啟了 SSL 功能：

docker run -it --link test_db:test_db --rm mysql sh -c 'exec mysql -u root -p -h test_db'

登入成功後, 我們在 MySQL 中執行如下指令:

mysql> show variables like'%ssl%'; +---------------+---------------------------------+ | Variable_name | Value              | +---------------+---------------------------------+ | have_openssl | YES               | | have_ssl   | YES               | | ssl_ca    |/etc/mysql/cert/ca-cert.pem   | | ssl_capath  |                 | | ssl_cert   |/etc/mysql/cert/server-cert.pem | | ssl_cipher  |                 | | ssl_crl    |                 | | ssl_crlpath  |                 | | ssl_key    |/etc/mysql/cert/server-key.pem | +---------------+---------------------------------+ 9 rowsinset(0.01 sec)

有上面的輸出後, 表明此時 MySQL 服務已經使用 SSL 功能了.

接著下一步, 我們按照前面所提到的, 建立一個僅僅可以使用 SSL 登入的帳號, 來檢驗我們的配置是否有效:

代碼如下：

GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL; FLUSH PRIVILEGES;[code]

上面的命令建立了一個帳號名為 ssl_test, 密碼為 ssl_test, 並且不限制登入主機 ip 的帳號.

這些都配置成功後, 我們再啟動一個 MySQL 用戶端容器:

[code]docker run -it --link test_db:test_db --rm -v /Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql sh -c 'exec mysql --ssl-ca=/etc/mysql/cert/ca-cert.pem --ssl-cert=/etc/mysql/cert/client-cert.pem --ssl-key=/etc/mysql/cert/client-key.pem -h test_db -u ssl_test -p'

從上面的這個命令中我們可以看到, 啟動 MySQL 用戶端容器時, 我們掛載了宿主機的 cert 目錄到容器內的 /etc/mysql/cert 目錄, 這樣在容器中就可以訪問到 SSL 私密金鑰和認證檔案了. 接著我們在 MySQL 用戶端命令列中, 使用 --ssl-ca, --ssl-cert, --ssl-key 這三個參數來指定 SSL 串連所需要的 CA 憑證, RSA 私密金鑰和用戶端認證.

登入成功後, 我們執行 s 命令:

mysql> \s -------------- mysql Ver 14.14 Distrib 5.7.17,forLinux (x86_64) using EditLine wrapper Connectionid:    5 Current database: Current user:    ssl_test@172.17.0.5 SSL:      Cipherinuse is DHE-RSA-AES256-SHA Current pager:    stdout Using outfile:   '' Using delimiter:  ; Server version:    5.7.17 MySQL Community Server (GPL) Protocol version:  10 Connection:    test_db via TCP/IP Server characterset:  latin1 Db   characterset:  latin1 Client characterset:  latin1 Conn. characterset:  latin1 TCP port:    3306 Uptime:      6 min 8 sec Threads: 2 Questions: 10 Slow queries: 0 Opens: 113 Flush tables: 1 Open tables: 106 Queries per second avg: 0.027 --------------

輸出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 資訊則說明我們確實是使用了 SSL 串連的 MySQL 伺服器。