mysql支持ssl需先确认have_ssl为YES,若未启用则用mysql_ssl_rsa_setup生成证书密钥,配置my.cnf中[mysqld]段ssl-ca、ssl-cert、ssl-key指向对应文件并重启服务,创建require SSL用户,客户端连接时指定–ssl-ca、–ssl-cert、–ssl-key参数,确保文件权限安全且路径正确,生产环境应使用可信CA证书。
MySQL 设置 SSL 安全连接可以提升数据库通信的安全性,防止数据在传输过程中被窃听或篡改。要实现 SSL 连接,需要在服务器端配置 SSL 证书和密钥,并在客户端连接时启用 SSL。以下是具体操作步骤。
1. 检查 MySQL 是否支持 SSL
登录 MySQL 执行以下命令:
select ssl_cipher FROM performance_schema.session_status WHERE variable_name = ‘Ssl_cipher’;
或者使用:
SHOW VARIABLES LIKE ‘%ssl%’;
如果 have_ssl 的值为 YES,说明 MySQL 支持 SSL。若为 DISABLED,则可能缺少证书文件。
2. 生成 SSL 证书和密钥
MySQL 提供了自带的脚本自动创建测试用的证书,位于安装目录下的 mysql_ssl_rsa_setup。
运行命令(以 linux 为例):
mysql_ssl_rsa_setup –datadir=/var/lib/mysql –user=mysql
该命令会生成如下文件:
- ca.pem:CA 证书
- server-cert.pem、server-key.pem:服务器证书和私钥
- client-cert.pem、client-key.pem:客户端证书和私钥
确保这些文件权限安全,仅 MySQL 用户可读。
3. 配置 MySQL 启用 SSL
编辑 MySQL 配置文件(通常为 my.cnf 或 mysqld.cnf),在 [mysqld] 段添加:
[mysqld]
ssl-ca=ca.pem
ssl-cert=server-cert.pem
ssl-key=server-key.pem
保存后重启 MySQL 服务:
sudo systemctl restart mysql
再次执行 SHOW VARIABLES LIKE ‘%ssl%’;,确认 SSL 已启用且证书路径正确。
4. 创建强制 SSL 的用户
建议为远程访问的用户启用 SSL 要求:
CREATE USER ‘secure_user’@’%’ IDENTIFIED BY ‘password‘ REQUIRE SSL;
GRANT SELECT, INSERT ON mydb.* TO ‘secure_user’@’%’;
FLUSH PRIVILEGES;
REQUIRE SSL 表示该用户必须通过 SSL 连接。
5. 客户端连接使用 SSL
使用 MySQL 客户端连接时指定 SSL 参数:
mysql -u secure_user -p –host=your.mysql.host –ssl-ca=ca.pem –ssl-cert=client-cert.pem –ssl-key=client-key.pem
如果服务器证书可信,连接将通过加密通道进行。
对于应用程序(如 php、python),在连接字符串中启用 SSL 并传入相应证书路径。
基本上就这些。只要证书配置正确,MySQL 的 SSL 连接就能有效保护数据传输安全。生产环境建议使用由可信 CA 签发的证书,而非自签名。配置完成后定期检查连接状态和日志,确保无异常。不复杂但容易忽略的是文件权限和路径正确性。
评论(已关闭)
评论已关闭