一、创建Server SSL证书和私钥
1.自动方式:
/usr/local/mysql/bin/mysql_ssl_rsa_setup --datadir=/home/mysql/data
2.手动方式:
首先,创建一个临时的工作目录,我们将把私钥和证书文件放在该目录下。
$ sudo mkdir /home/mysql/data $ cd /home/mysql/data
检查Linux发行版在默认情况下都安装了OpenSSL。
$ openssl version OpenSSL 1.0.1f 6 Jan 2014
现在,继续创建CA私钥和证书。填好字段
$ openssl genrsa 2048 > ca-key.pem $ openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem
下一步是为服务器创建私钥。
$ openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem
填写上一步中提供的相同答案。
下一步,使用下面这个命令,将服务器的私钥导出成RSA类型的密钥。
$ openssl rsa -in server-key.pem -out server-key.pem
最后,使用CA证书,创建服务器证书。
$ openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
客户端SSL证书
在服务器的CA私钥和证书驻留于其中的MySQL服务器主机上运行下列命令。
$ openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem
类似服务器端配置,上述命令会询问几个问题。只管填好字段,就像前面所做的那样。
我们还需要将创建的客户机私钥转换成RSA类型,如下所示。
$ openssl rsa -in client-key.pem -out client-key.pem
最后,我们需要使用服务器的CA私钥和证书,创建客户机证书。
$ openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem
二、配置MySQL服务器上的SSL
1.检查一下SSL选项已被启用还是被禁用。
mysql> SHOW GLOBAL VARIABLES LIKE 'have_%ssl';
2. 使用文本编辑工具,打开服务器的my.cnf配置文件。添加或去掉注释[mysqld]部分中类似下面内容的几行。这些应该指向你放在/etc/mysql-ssl中的私钥和证书。
[mysqld]
ssl-ca=/home/mysql/data/ca-cert.pem
ssl-cert=/home/mysql/data/server-cert.pem
ssl-key=/home/mysql/data/server-key.pem
[client]
ssl-ca=/home/mysql/data/ca-cert.pem
ssl-cert=/home/mysql/data/client-cert.pem
ssl-key=/home/mysql/data/client-key.pem
3. 重启MySQL服务。
$ sudo service mysql restart 或 $ sudo systemctl restart mysql 或 $ sudo /etc/init.d/mysql restart
你只要查看MySQL错误日志文件(比如/home/mysql/mysql.log),就可以检查SSL配置有没有问题。
创建拥有SSL权限的用户
服务器端的SSL配置完成后,下一步就是创建有权通过SSL访问MySQL服务器的用户。为此,登录进入到MySQL服务器,输入下面内容:
mysql> GRANT ALL PRIVILEGES ON *.* TO ‘ssluser’@’%’ IDENTIFIED BY ‘password‘ REQUIRE SSL; mysql> FLUSH PRIVILEGES;
把“ssluser”(用户名)和“password”(密码)换成你自己的用户名和密码。