MySQL 5.6--------SSL连接最佳实战

1. 背景

* 在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中

* 当使用非加密方式连接MySQL数据库时,在网络中传输的所有信息都是明文的,可以被网络中所有人截取,敏感信息可能被泄露。在传送敏感信息(如密码)时,可以采用SSL连接的方式。

2. MySQL 连接方式

* socket连接

* TCP非SSL连接

* SSL安全连接

3. SSL 简介

* SSL指的是SSL/TLS,其是一种为了在计算机网络进行安全通信的加密协议。假设用户的传输不是通过SSL的方式,那么其在网络中以明文的方式进行传输,而这给别有用心的人带来了可乘之机。所以,现在很多网站其实默认已经开启了SSL功能,比如Facebook、Twtter、YouTube、淘宝等。

4. 环境 [ 关闭SeLinux ]

* system 环境

[[email protected] ~]# cat /etc/redhat-release 
CentOS release 6.9 (Final)

[[email protected] ~]# uname -r
2.6.32-696.3.2.el6.x86_64

[[email protected] ~]# getenforce 
Disabled

* MySQL 环境 [ MySQL 5.6安装前面篇章已做详细介绍 ]

have_openssl 与 have_ssl 值都为DISABLED表示ssl未开启

[[email protected] mysql]# mysql
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 3
Server version: 5.6.36 MySQL Community Server (GPL)

Copyright (c) 2000, 2017, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type ‘help;‘ or ‘\h‘ for help. Type ‘\c‘ to clear the current input statement.

mysql> select version();
+-----------+
| version() |
+-----------+
| 5.6.36    |
+-----------+
1 row in set (0.00 sec)

mysql> show variables like ‘have%ssl%‘;
+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |
| have_ssl      | DISABLED |
+---------------+----------+
2 rows in set (0.00 sec)

mysql> show variables like ‘port‘;
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| port          | 3306  |
+---------------+-------+
1 row in set (0.00 sec)

mysql> show variables like ‘datadir‘;
+---------------+-------------------+
| Variable_name | Value             |
+---------------+-------------------+
| datadir       | /data/mysql_data/ |
+---------------+-------------------+
1 row in set (0.00 sec)

5. 通过openssl 制作生成 SSL 证书

* 生成一个 CA 私钥

[[email protected] ~]# openssl genrsa 2048 > ca-key.pem
Generating RSA private key, 2048 bit long modulus
.............................+++
....................+++
e is 65537 (0x10001)

* 通过 CA 私钥生成数字证书

[[email protected] ~]# openssl req -new -x509 -nodes -days 3600 >          -key ca-key.pem -out ca.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server‘s hostname) []:
Email Address []:

* 创建 MySQL 服务器 私钥和请求证书

[[email protected] ~]# openssl req -newkey rsa:2048 -days 3600 >          -nodes -keyout server-key.pem -out server-req.pem
Generating a 2048 bit RSA private key
.................................+++
.......................................................+++
writing new private key to ‘server-key.pem‘
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server‘s hostname) []:
Email Address []:

Please enter the following ‘extra‘ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

* 将生成的私钥转换为 RSA 私钥文件格式

[[email protected] ~]# openssl rsa -in server-key.pem -out server-key.pem
writing RSA key

* 用CA 证书来生成一个服务器端的数字证书

[[email protected] ~]# openssl x509 -req -in server-req.pem -days 3600 >          -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd
Getting CA Private Key

* 创建客户端的 RSA 私钥和数字证书

[[email protected] ~]# openssl req -newkey rsa:2048 -days 3600 >          -nodes -keyout client-key.pem -out client-req.pem
Generating a 2048 bit RSA private key
..........................................................+++
.................+++
writing new private key to ‘client-key.pem‘
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.‘, the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server‘s hostname) []:
Email Address []:

Please enter the following ‘extra‘ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

* 将生成的私钥转换为 RSA 私钥文件格式

[[email protected] ~]# openssl rsa -in client-key.pem -out client-key.pem
writing RSA key

* 用CA 证书来生成一个客户端的数字证书

[[email protected] ~]# openssl x509 -req -in client-req.pem -days 3600 >          -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
Signature ok
subject=/C=XX/L=Default City/O=Default Company Ltd
Getting CA Private Key

* 查看所有生成的SSL文件

[[email protected] ~]# ls -l *.pem
-rw-r--r-- 1 root root 1675 Jun 24 14:16 ca-key.pem
-rw-r--r-- 1 root root 1220 Jun 24 14:19 ca.pem
-rw-r--r-- 1 root root 1090 Jun 24 14:29 client-cert.pem
-rw-r--r-- 1 root root 1679 Jun 24 14:28 client-key.pem
-rw-r--r-- 1 root root  952 Jun 24 14:28 client-req.pem
-rw-r--r-- 1 root root 1090 Jun 24 14:24 server-cert.pem
-rw-r--r-- 1 root root 1679 Jun 24 14:23 server-key.pem
-rw-r--r-- 1 root root  952 Jun 24 14:20 server-req.pem

6. MySQL 配置启动 SSL

* 复制 CA 证书和服务端SSL文件至MySQL 数据目录

[[email protected] ~]# cp ca.pem server-*.pem /data/mysql_data -v
`ca.pem‘ -> `/data/mysql_data/ca.pem‘
`server-cert.pem‘ -> `/data/mysql_data/server-cert.pem‘
`server-key.pem‘ -> `/data/mysql_data/server-key.pem‘
`server-req.pem‘ -> `/data/mysql_data/server-req.pem‘

* 修改 MySQL 数据目录的CA 证书和服务端 SSL 文件所属用户与组

[[email protected] ~]# chown -v mysql.mysql /data/mysql_data/{ca,server*}.pem
changed ownership of `/data/mysql_data/ca.pem‘ to mysql:mysql
changed ownership of `/data/mysql_data/server-cert.pem‘ to mysql:mysql
changed ownership of `/data/mysql_data/server-key.pem‘ to mysql:mysql
changed ownership of `/data/mysql_data/server-req.pem‘ to mysql:mysql

* 配置 MySQL 服务的配置文件 [/etc/my.cnf]

[mysqld]
ssl-ca=/data/mysql_data/ca.pem
ssl-cert=/data/mysql_data/server-cert.pem
ssl-key=/data/mysql_data/server-key.pem

* 重启MySQL服务

[[email protected] ~]# /etc/init.d/mysqld restart
Shutting down MySQL.. SUCCESS! 
Starting MySQL. SUCCESS!

* 登陆查看SSL开启状态

have_openssl 与 have_ssl 值都为YES表示ssl开启成功

mysql> show variables like ‘have%ssl%‘;
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_openssl  | YES   |
| have_ssl      | YES   |
+---------------+-------+
2 rows in set (0.01 sec)

6. SSL连接测试

* 创建用户并指定 SSL 连接

mysql> grant all on *.* to ‘ssl_test‘@‘%‘ identified by ‘123‘ require SSL;
Query OK, 0 rows affected (0.00 sec)

* 通过密码连接测试

[[email protected] ~]# mysql -h 192.168.60.129 -ussl_test -p‘123‘
Warning: Using a password on the command line interface can be insecure.
ERROR 1045 (28000): Access denied for user ‘ssl_test‘@‘192.168.60.129‘ (using password: YES)

* 通过客户端密钥与证书SSL + 密码连接测试

[[email protected] ~]# mysql -h 192.168.60.129 -ussl_test  --ssl-cert=client-cert.pem --ssl-key=client-key.pem 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 9
Server version: 5.6.36 MySQL Community Server (GPL)

Copyright (c) 2000, 2017, Oracle and/or its affiliates. All rights reserved.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type ‘help;‘ or ‘\h‘ for help. Type ‘\c‘ to clear the current input statement.

mysql> \s
--------------
mysql  Ver 14.14 Distrib 5.6.36, for linux-glibc2.5 (x86_64) using  EditLine wrapper

Connection id:		20
Current database:
Current user:		[email protected]
SSL:			Cipher in use is DHE-RSA-AES256-SHA
Current pager:		stdout
Using outfile:		‘‘
Using delimiter:	;
Server version:		5.6.36 MySQL Community Server (GPL)
Protocol version:	10
Connection:		192.168.60.129 via TCP/IP
Server characterset:	latin1
Db     characterset:	latin1
Client characterset:	utf8
Conn.  characterset:	utf8
TCP port:		3306
Uptime:			16 min 38 sec

Threads: 1  Questions: 35  Slow queries: 0  Opens: 67  Flush tables: 1  Open tables: 60  Queries per second avg: 0.035

7. 总结

以需求驱动技术,技术本身没有优略之分,只有业务之分。

时间: 2024-10-14 09:21:34

MySQL 5.6--------SSL连接最佳实战的相关文章

MySQL 5.7--------SSL连接最佳实战

                                                                                         MySQL 5.7--------SSL连接最佳实战 1. 背景 * 在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中 * 当使用非加密方式连接MySQL数据库时,在网络中传输的所有信息都是明文的,可以被网络中所有人截取,敏感信息可能被泄露.在传送敏感信息(如密码)时,可以采用

利用openssl实现私有CA以及mysql服务器的ssl连接的配置

利用openssl实现私有CA以及mysql服务器的ssl连接的配置 一.CA简介 CA 也拥有一个证书(内含公钥和私钥).网上的公众用户通过验证 CA 的签字从而信任 CA ,任何人都可以得到 CA 的证书(含公钥),用以验证它所签发的证书. 如果用户想得到一份属于自己的证书,他应先向 CA 提出申请.在 CA 判明申请者的身份后,便为他分配一个公钥,并且 CA 将该公钥与申请者的身份信息绑在一起,并为之签字后,便形成证书发给申请者. 如果一个用户想鉴别另一个证书的真伪,他就用 CA 的公钥对

MySQL 5.7--------多实例部署最佳实战

1. 背景 MySQL数据库的集中化运维,可以通过在一台服务器上,部署运行多个MySQL服务进程,通过不同的socket监听不同的服务端口来提供各自的服务.各个实例之间是相互独立的,每个实例的datadir, port, socket, pid都是不同的. 2. 多实例特点 * 有效利用服务器资源,当单个服务器资源有剩余时,可以充分利用剩余的资源提供更多的服务. * 资源互相抢占问题,当某个服务实例服务并发很高时或者开启慢查询时,会消耗更多的内存.CPU.磁盘IO资源,导致服务器上的其他实例提供

MySQL 5.6升级至MySQL 5.7--------版本升级最佳实战

1. 背景 MySQL 5.7是当前MySQL最新版本,与MySQL 5.6版本相比,有如下特征 * 性能和可扩展性:改进 InnoDB 的可扩展性和临时表的性能,从而实现更快的网络和大数据加载等操作. * JSON支持:使用 MySQL 的 JSON 功能,你可以结合 NoSQL 的灵活和关系数据库的强大. * 改进复制 以提高可用性的性能.包括多源复制,多从线程增强,在线 GTIDs,和增强的半同步复制. * 性能模式 提供更好的视角.我们增加了许多新的监控功能,以减少空间和过载,使用新的

MySQL DDL操作--------外键最佳实战

1. 背景 * MySQL有两种常用的引擎类型MyISAM和InnoDB.目前只有InnoDB引擎类型支持外键约束. * 本表的列必须与外键类型相同, 外键必须是外表的主键 * 设置外建的列不能设置 NO NULL 字段属性. 2. 外建作用 * 使两张表形成关联,外键只能引用外表中的列的值 * 保持数据一致性,完整性,控制存储在外键表中的数据 3. 外键实验 [ 员工 --> 部门 ] * 创建外键依赖的外表 departments mysql> CREATE TABLE departmen

MySql之基于ssl安全连接的主从复制

MySql基于ssl安全连接的主从复制 一.设备环境 centos7.2   两台 MySQL 5.7 MySQL 5.7 主要特性: 原生支持Systemd更好的性能:对于多核CPU.固态硬盘.锁有着更好的优化更好的InnoDB存储引擎更为健壮的复制功能:复制带来了数据完全不丢失的方案,传统金融客户也可以选择使用MySQL数据库. 新增sys库:以后这会是DBA访问最频繁的库更好的优化器:优化器代码重构的意义将在这个版本及以后的版本中带来巨大的改进,Oracle官方正在解决MySQL之前最大的

Java连接MySQL Warning: Establishing SSL connection without server's identity verification is not recommended

1. 数据库 1.1 创建表 在当前数据库students中,创建数据表student: 1 mysql> create table student( 2 -> studentid char(10),#学生ID 3 -> name varchar(10),#学生姓名 4 -> age smallint,#学生年龄 5 -> grade smallint)#成绩 6 -> ; 1.2 插入信息: INSERT student VALUES("1*********

MySQL建立SSL连接警告

WARN: Establishing SSL connection without server's identity verification is not recommended. According to MySQL 5.5.45+, 5.6.26+ and 5.7.6+ requirements SSL connection must be established by default if explicit option isn't set. For compliance with e

MySQL出现Establishing SSL connection without server's identity verification is not recommended

Java使用MySQL-jdbc连接mysql出现如下警告: Establishing SSL connection without server's identity verification is not recommended. According to MySQL 5.5.45+, 5.6.26+ and 5.7.6+ requirements SSL connection must be established by default if explicit option isn't s