查看是否支持 SSL
首先在 MySQL 上執行如下命令, 查詢是否 MySQL 支持 SSL:
mysql> SHOW VARIABLES LIKE 'have_ssl';+---------------+-------+| Variable_name | Value |+---------------+-------+| have_ssl | YES |+---------------+-------+1 row in set (0.02 sec)
當 have_ssl 為 YES 時, 表示此時 MySQL 服務已經支持 SSL 了. 如果是 DESABLE, 則需要在啟動 MySQL 服務時, 使能 SSL 功能.
使用 OpenSSL 創建 SSL 證書和私鑰
首先我們需要使用 openssl 來創建服務器端的證書和私鑰. 我使用的 openssl 版本為:
>>> /usr/local/Cellar/openssl/1.0.2j/bin/openssl versionOpenSSL 1.0.2j 26 Sep 2016
新建一個 ~/temp/cert 目錄, 用于存放生成的證書和私鑰
mkdir ~/temp/certcd ~/temp/cert
創建 CA 私鑰和 CA 證書
然后, 我們先來生成一個 CA 私鑰:
openssl genrsa 2048 > ca-key.pem
當有了一個 CA 私鑰, 我們接下來就可以使用這個私鑰生成一個新的數字證書:
openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem
執行這個命令時, 會需要填寫一些問題, 隨便填寫就可以了. 例如:
>>> openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pemYou are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:CNState or Province Name (full name) [Some-State]:BeijingLocality Name (eg, city) []:BeijingOrganization Name (eg, company) [Internet Widgits Pty Ltd]:xysOrganizational Unit Name (eg, section) []:xysCommon Name (e.g. server FQDN or YOUR name) []:xysEmail Address []:yongshun1228@gmail.com
執行上述命令后, 我們就有了一個 CA 私鑰和一個 CA 證書.
創建服務器端的 RSA 私鑰和數字證書
接著, 我們需要創建服務器端的私鑰和一個證書請求文件, 命令如下:
openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem
上面這個命令會生成一個新的私鑰(server-key.pem), 同時會使用這個新私鑰來生成一個證書請求文件(server-req.pem).
上面這個命令同樣需要回答幾個問題, 隨便填寫即可. 不過需要注意的是, A challenge password 這一項需要為空.
即:
>>> openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pemGenerating a 2048 bit RSA private key.................+++..+++writing new private key to 'server-key.pem'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:CNState or Province Name (full name) [Some-State]:BeijingLocality Name (eg, city) []:BeijingOrganization Name (eg, company) [Internet Widgits Pty Ltd]:xysOrganizational Unit Name (eg, section) []:xysCommon Name (e.g. server FQDN or YOUR name) []:xysEmail Address []:yongshun1228@gmail.comPlease enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:An optional company name []:
下一步, 我們需要將生成的私鑰轉換為 RSA 私鑰文件格式:
openssl rsa -in server-key.pem -out server-key.pem
最后一步, 我們需要使用原先生成的 CA 證書來生成一個服務器端的數字證書:
openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
上面的命令會創建以服務器端的數字證書文件.
創建客戶端的 RSA 私鑰和數字證書
和服務器端所執行的命令類似, 我們也需要為客戶端生成一個私鑰和證書請求文件, 命令如下:
openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem
同樣地, 我們需要將生成的私鑰轉換為 RSA 私鑰文件格式:
openssl rsa -in client-key.pem -out client-key.pem
最后, 我們也需要為客戶端創建一個數字證書:
openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem
使用工具創建證書與私鑰
前面我們介紹了如何使用 OpenSSL 來創建 SSL 連接的私鑰和證書文件, 現在我們來看一個更簡單的方法.
在 MySQL 5.7 中, 提供了一個名為 mysql_ssl_rsa_setup 的工具, 通過它, 我們可以很方便地創建 SSL 連接所需要的各種文件:
mkdir ~/temp/certcd ~/temp/certmysql_ssl_rsa_setup --datadir ./
上面的命令中, --datadir 表示生成的文件的目錄.
當執行了上述命令后, 也會生成八個文件:
ca-key.pemca.pemclient-cert.pemclient-key.pemprivate_key.pempublic_key.pemserver-cert.pemserver-key.pem
這些文件和我們使用 OpenSSL 所創建的那八個文件的作用是一樣的, 這里就不再詳述了.
SSL 配置
在前面的步驟中, 我們已經生成了8個文件, 分別是:
ca-cert.pem: CA 證書, 用于生成服務器端/客戶端的數字證書.
ca-key.pem: CA 私鑰, 用于生成服務器端/客戶端的數字證書.
server-key.pem: 服務器端的 RSA 私鑰
server-req.pem: 服務器端的證書請求文件, 用于生成服務器端的數字證書.
server-cert.pem: 服務器端的數字證書.
client-key.pem: 客戶端的 RSA 私鑰
client-req.pem: 客戶端的證書請求文件, 用于生成客戶端的數字證書.
client-cert.pem: 客戶端的數字證書.
接下來我們就需要分別配置服務器端和客戶端.
服務器端配置
服務器端需要用到三個文件, 分別是: CA 證書, 服務器端的 RSA 私鑰, 服務器端的數字證書, 我們需要在 [mysqld] 配置域下添加如下內容:
[mysqld]ssl-ca=/etc/mysql/ca-cert.pemssl-cert=/etc/mysql/server-cert.pemssl-key=/etc/mysql/server-key.pem
接著我們還可以更改 bind-address, 使 MySQL 服務可以接收來自所有 ip 地址的客戶端, 即:
bind-address = *
當配置好后, 我們需要重啟 MySQL 服務, 使能配置.
最后一步, 我們添加一個需要使用 SSL 才可以登錄的帳號, 來驗證一下我們所配置的 SSL 是否生效:
當配置好后, 使用 root 登錄 MySQL, 執行 show variables like '%ssl%' 語句會有如下輸出:
mysql> show variables like '%ssl%';+---------------+-----------------+| Variable_name | Value |+---------------+-----------------+| have_openssl | YES || have_ssl | YES || ssl_ca | ca.pem || ssl_capath | || ssl_cert | server-cert.pem || ssl_cipher | || ssl_crl | || ssl_crlpath | || ssl_key | server-key.pem |+---------------+-----------------+9 rows in set (0.01 sec)
客戶端配置
客戶端配置相對簡單一些. 首先我們需要拷貝 ca-cert.pem, client-cert.pem 和 client-key.pem 這三個文件到客戶端主機中, 然后我們可以執行如下命令來使用 SSL 連接 MySQL 服務:
mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -h host_name -u ssl_test -p
除了上述的使用命令行方式配置 SSL 外, 我們也可以使用配置文件的方式. 即在 ~/.my.cnf 文件中添加如下內容即可:
[client]ssl-ca=/path/to/ca-cert.pemssl-cert=/path/to/client-cert.pemssl-key=/path/to/client-key.pem
當連接成功后, 我們執行如下指令
mysql> /s--------------mysql Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using EditLine wrapperConnection id: 14Current database:Current user: ssl_test@172.17.0.4SSL: Cipher in use is DHE-RSA-AES256-SHACurrent pager: stdoutUsing outfile: ''Using delimiter: ;Server version: 5.7.17 MySQL Community Server (GPL)Protocol version: 10Connection: test_db via TCP/IPServer characterset: latin1Db characterset: latin1Client characterset: latin1Conn. characterset: latin1TCP port: 3306Uptime: 1 hour 2 min 9 secThreads: 1 Questions: 23 Slow queries: 0 Opens: 126 Flush tables: 3 Open tables: 0 Queries per second avg: 0.006--------------
如果輸出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 之類的信息, 則表示已經使用 SSL 來連接了.
在 Docker 中使能 MySQL SSL 連接
上面我們簡單介紹了一下如果使能 MySQL SSL 連接, 那么現在我們使用 Docker 來具體的實戰一把吧!
首先拉取最新的 MySQL 鏡像:
docker pull mysql
然后需要準備一下掛載到 Docker 容器的目錄結構:
>>> cd ~/temp>>> tree.├── cert│ ├── ca-key.pem│ ├── ca.pem│ ├── client-cert.pem│ ├── client-key.pem│ ├── private_key.pem│ ├── public_key.pem│ ├── server-cert.pem│ └── server-key.pem├── config│ └── my.cnf└── db3 directories, 9 files
在 temp 目錄下有三個子目錄:
cert 目錄用于存放我們先前生成的證書和私鑰信息;
config 目錄用于存放 MySQL 服務的配置文件
db 目錄是用于存放 MySQL 的數據.
下一步我們需要使用如下命令啟動 MySQL 容器:
啟動了 MySQL 服務后, 可以先使用 root 帳號登錄 MySQL, 來檢查 MySQL 服務此時是否已經開啟了 SSL 功能:
docker run -it --link test_db:test_db --rm mysql sh -c 'exec mysql -u root -p -h test_db'
登錄成功后, 我們在 MySQL 中執行如下指令:
mysql> show variables like '%ssl%';+---------------+---------------------------------+| Variable_name | Value |+---------------+---------------------------------+| have_openssl | YES || have_ssl | YES || ssl_ca | /etc/mysql/cert/ca-cert.pem || ssl_capath | || ssl_cert | /etc/mysql/cert/server-cert.pem || ssl_cipher | || ssl_crl | || ssl_crlpath | || ssl_key | /etc/mysql/cert/server-key.pem |+---------------+---------------------------------+9 rows in set (0.01 sec)
有上面的輸出后, 表明此時 MySQL 服務已經使用 SSL 功能了.
接著下一步, 我們按照前面所提到的, 創建一個僅僅可以使用 SSL 登錄的帳號, 來檢驗我們的配置是否有效:
上面的命令創建了一個帳號名為 ssl_test, 密碼為 ssl_test, 并且不限制登錄主機 ip 的帳號.
這些都配置成功后, 我們再啟動一個 MySQL 客戶端容器:
[code]docker run -it --link test_db:test_db --rm -v /Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql sh -c 'exec mysql --ssl-ca=/etc/mysql/cert/ca-cert.pem --ssl-cert=/etc/mysql/cert/client-cert.pem --ssl-key=/etc/mysql/cert/client-key.pem -h test_db -u ssl_test -p'
從上面的這個命令中我們可以看到, 啟動 MySQL 客戶端容器時, 我們掛載了宿主機的 cert 目錄到容器內的 /etc/mysql/cert 目錄, 這樣在容器中就可以訪問到 SSL 私鑰和證書文件了. 接著我們在 MySQL 客戶端命令行中, 使用 --ssl-ca, --ssl-cert, --ssl-key 這三個參數來指定 SSL 連接所需要的 CA 證書, RSA 私鑰和客戶端證書.
登錄成功后, 我們執行 s 命令:
mysql> /s--------------mysql Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using EditLine wrapperConnection id: 5Current database:Current user: ssl_test@172.17.0.5SSL: Cipher in use is DHE-RSA-AES256-SHACurrent pager: stdoutUsing outfile: ''Using delimiter: ;Server version: 5.7.17 MySQL Community Server (GPL)Protocol version: 10Connection: test_db via TCP/IPServer characterset: latin1Db characterset: latin1Client characterset: latin1Conn. characterset: latin1TCP port: 3306Uptime: 6 min 8 secThreads: 2 Questions: 10 Slow queries: 0 Opens: 113 Flush tables: 1 Open tables: 106 Queries per second avg: 0.027--------------
輸出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 信息則說明我們確實是使用了 SSL 連接的 MySQL 服務器.
新聞熱點
疑難解答
