查看是否⽀持 SSL
⾸先在 MySQL 上执⾏如下命令, 查询是否 MySQL ⽀持 SSL:
mysql> SHOW VARIABLES LIKE 'have_ssl';+---------------+-------+
| Variable_name | Value |+---------------+-------+| have_ssl | YES |+---------------+-------+1 row in set (0.02 sec)
当 have_ssl 为 YES 时, 表⽰此时 MySQL 服务已经⽀持 SSL 了. 如果是 DESABLE, 则需要在启动 MySQL 服务时, 使能 SSL功能.
使⽤ OpenSSL 创建 SSL 证书和私钥
⾸先我们需要使⽤ openssl 来创建服务器端的证书和私钥. 我使⽤的 openssl 版本为:
>>> /usr/local/Cellar/openssl/1.0.2j/bin/openssl versionOpenSSL 1.0.2j 26 Sep 2016
新建⼀个 ~/temp/cert ⽬录, ⽤于存放⽣成的证书和私钥
mkdir ~/temp/certcd ~/temp/cert
创建 CA 私钥和 CA 证书然后, 我们先来⽣成⼀个 CA 私钥:
openssl genrsa 2048 > ca-key.pem
当有了⼀个 CA 私钥, 我们接下来就可以使⽤这个私钥⽣成⼀个新的数字证书:
openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem
执⾏这个命令时, 会需要填写⼀些问题, 随便填写就可以了. 例如:
>>> openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pemYou are about to be asked to enter information that will be incorporatedinto your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BeijingLocality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xysOrganizational Unit Name (eg, section) []:xys
Common Name (e.g. server FQDN or YOUR name) []:xysEmail Address []:yongshun1228@gmail.com
执⾏上述命令后, 我们就有了⼀个 CA 私钥和⼀个 CA 证书.创建服务器端的 RSA 私钥和数字证书
接着, 我们需要创建服务器端的私钥和⼀个证书请求⽂件, 命令如下:
openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem
上⾯这个命令会⽣成⼀个新的私钥(server-key.pem), 同时会使⽤这个新私钥来⽣成⼀个证书请求⽂件(server-req.pem).上⾯这个命令同样需要回答⼏个问题, 随便填写即可. 不过需要注意的是, A challenge password 这⼀项需要为空.即:
>>> openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem
Generating a 2048 bit RSA private key.................+++..+++
writing new private key to 'server-key.pem'-----You are about to be asked to enter information that will be incorporatedinto your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.-----Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:BeijingLocality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xysOrganizational Unit Name (eg, section) []:xys
Common Name (e.g. server FQDN or YOUR name) []:xysEmail Address []:yongshun1228@gmail.comPlease enter the following 'extra' attributesto be sent with your certificate requestA challenge password []:
An optional company name []:
下⼀步, 我们需要将⽣成的私钥转换为 RSA 私钥⽂件格式:
openssl rsa -in server-key.pem -out server-key.pem
最后⼀步, 我们需要使⽤原先⽣成的 CA 证书来⽣成⼀个服务器端的数字证书:
openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
上⾯的命令会创建以服务器端的数字证书⽂件.创建客户端的 RSA 私钥和数字证书
和服务器端所执⾏的命令类似, 我们也需要为客户端⽣成⼀个私钥和证书请求⽂件, 命令如下:
openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem
同样地, 我们需要将⽣成的私钥转换为 RSA 私钥⽂件格式:
openssl rsa -in client-key.pem -out client-key.pem
最后, 我们也需要为客户端创建⼀个数字证书:
openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem
使⽤⼯具创建证书与私钥
前⾯我们介绍了如何使⽤ OpenSSL 来创建 SSL 连接的私钥和证书⽂件, 现在我们来看⼀个更简单的⽅法.
在 MySQL 5.7 中, 提供了⼀个名为 mysql_ssl_rsa_setup 的⼯具, 通过它, 我们可以很⽅便地创建 SSL 连接所需要的各种⽂件:
mkdir ~/temp/certcd ~/temp/cert
mysql_ssl_rsa_setup --datadir ./
上⾯的命令中, --datadir 表⽰⽣成的⽂件的⽬录.当执⾏了上述命令后, 也会⽣成⼋个⽂件:
ca-key.pemca.pem
client-cert.pemclient-key.pemprivate_key.pempublic_key.pemserver-cert.pemserver-key.pem
这些⽂件和我们使⽤ OpenSSL 所创建的那⼋个⽂件的作⽤是⼀样的, 这⾥就不再详述了.
SSL 配置
在前⾯的步骤中, 我们已经⽣成了8个⽂件, 分别是:
ca-cert.pem: CA 证书, ⽤于⽣成服务器端/客户端的数字证书.ca-key.pem: CA 私钥, ⽤于⽣成服务器端/客户端的数字证书.server-key.pem: 服务器端的 RSA 私钥
server-req.pem: 服务器端的证书请求⽂件, ⽤于⽣成服务器端的数字证书.server-cert.pem: 服务器端的数字证书.client-key.pem: 客户端的 RSA 私钥
client-req.pem: 客户端的证书请求⽂件, ⽤于⽣成客户端的数字证书.client-cert.pem: 客户端的数字证书.
接下来我们就需要分别配置服务器端和客户端.服务器端配置
服务器端需要⽤到三个⽂件, 分别是: CA 证书, 服务器端的 RSA 私钥, 服务器端的数字证书, 我们需要在 [mysqld] 配置域下添加如下内容:
[mysqld]
ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pemssl-key=/etc/mysql/server-key.pem
接着我们还可以更改 bind-address, 使 MySQL 服务可以接收来⾃所有 ip 地址的客户端, 即:
bind-address = *
当配置好后, 我们需要重启 MySQL 服务, 使能配置.
最后⼀步, 我们添加⼀个需要使⽤ SSL 才可以登录的帐号, 来验证⼀下我们所配置的 SSL 是否⽣效:复制代码 代码如下:
GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;FLUSH PRIVILEGES;
当配置好后, 使⽤ root 登录 MySQL, 执⾏ show variables like '%ssl%' 语句会有如下输出:
mysql> show variables like '%ssl%';+---------------+-----------------+| Variable_name | Value |+---------------+-----------------+| have_openssl | YES || have_ssl | YES || ssl_ca | ca.pem || ssl_capath | |
| ssl_cert | server-cert.pem || ssl_cipher | || ssl_crl | || ssl_crlpath | |
| ssl_key | server-key.pem |+---------------+-----------------+9 rows in set (0.01 sec)
客户端配置
客户端配置相对简单⼀些. ⾸先我们需要拷贝 ca-cert.pem, client-cert.pem 和 client-key.pem 这三个⽂件到客户端主机中, 然后我们可以执⾏如下命令来使⽤ SSL 连接 MySQL 服务:
mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -h host_name -u ssl_test -p
除了上述的使⽤命令⾏⽅式配置 SSL 外, 我们也可以使⽤配置⽂件的⽅式. 即在 ~/.my.cnf ⽂件中添加如下内容即可:
[client]
ssl-ca=/path/to/ca-cert.pemssl-cert=/path/to/client-cert.pemssl-key=/path/to/client-key.pem
当连接成功后, 我们执⾏如下指令
mysql> \\s--------------mysql Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using EditLine wrapperConnection id: 14Current database:
Current user: ssl_test@172.17.0.4
SSL: Cipher in use is DHE-RSA-AES256-SHACurrent pager: stdoutUsing outfile: ''Using delimiter: ;
Server version: 5.7.17 MySQL Community Server (GPL)Protocol version: 10
Connection: test_db via TCP/IPServer characterset: latin1Db characterset: latin1Client characterset: latin1Conn. characterset: latin1TCP port: 3306
Uptime: 1 hour 2 min 9 sec
Threads: 1 Questions: 23 Slow queries: 0 Opens: 126 Flush tables: 3 Open tables: 0 Queries per second avg: 0.006--------------
如果输出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 之类的信息, 则表⽰已经使⽤ SSL 来连接了.在 Docker 中使能 MySQL SSL 连接
上⾯我们简单介绍了⼀下如果使能 MySQL SSL 连接, 那么现在我们使⽤ Docker 来具体的实战⼀把吧!⾸先拉取最新的 MySQL 镜像:
docker pull mysql
然后需要准备⼀下挂载到 Docker 容器的⽬录结构:
>>> cd ~/temp>>> tree.
├── cert
│ ├── ca-key.pem│ ├── ca.pem
│ ├── client-cert.pem│ ├── client-key.pem│ ├── private_key.pem│ ├── public_key.pem│ ├── server-cert.pem│ └── server-key.pem├── config│ └── my.cnf└── db
3 directories, 9 files
在 temp ⽬录下有三个⼦⽬录:
cert ⽬录⽤于存放我们先前⽣成的证书和私钥信息;config ⽬录⽤于存放 MySQL 服务的配置⽂件db ⽬录是⽤于存放 MySQL 的数据.
下⼀步我们需要使⽤如下命令启动 MySQL 容器:
复制代码 代码如下:
docker run --rm --name test_db -p 10000:3306 -e MYSQL_ROOT_PASSWORD=root -v
/Users/xiongyongshun/temp/db:/var/lib/mysql -v /Users/xiongyongshun/temp/config:/etc/mysql/conf.d -v/Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql:latest
我们在上⾯的命令中, 我们分别挂载了 cert, config, db 这三个宿主机上的⽬录到 MySQL 容器中.
启动了 MySQL 服务后, 可以先使⽤ root 帐号登录 MySQL, 来检查 MySQL 服务此时是否已经开启了 SSL 功能:
docker run -it --link test_db:test_db --rm mysql sh -c 'exec mysql -u root -p -h test_db'
登录成功后, 我们在 MySQL 中执⾏如下指令:
mysql> show variables like '%ssl%';+---------------+---------------------------------+| Variable_name | Value |+---------------+---------------------------------+| have_openssl | YES || have_ssl | YES |
| ssl_ca | /etc/mysql/cert/ca-cert.pem || ssl_capath | |
| ssl_cert | /etc/mysql/cert/server-cert.pem || ssl_cipher | || ssl_crl | || ssl_crlpath | |
| ssl_key | /etc/mysql/cert/server-key.pem |+---------------+---------------------------------+9 rows in set (0.01 sec)
有上⾯的输出后, 表明此时 MySQL 服务已经使⽤ SSL 功能了.
接着下⼀步, 我们按照前⾯所提到的, 创建⼀个仅仅可以使⽤ SSL 登录的帐号, 来检验我们的配置是否有效:复制代码 代码如下:
GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;FLUSH PRIVILEGES;[code]
上⾯的命令创建了⼀个帐号名为 ssl_test, 密码为 ssl_test, 并且不限制登录主机 ip 的帐号.这些都配置成功后, 我们再启动⼀个 MySQL 客户端容器:
[code]docker run -it --link test_db:test_db --rm -v /Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql sh -c 'exec mysql --ssl-ca=/etc/mysql/cert/ca-cert.pem --ssl-cert=/etc/mysql/cert/client-cert.pem --ssl-key=/etc/mysql/cert/client-key.pem -h test_db-u ssl_test -p'
从上⾯的这个命令中我们可以看到, 启动 MySQL 客户端容器时, 我们挂载了宿主机的 cert ⽬录到容器内的 /etc/mysql/cert ⽬录,这样在容器中就可以访问到 SSL 私钥和证书⽂件了. 接着我们在 MySQL 客户端命令⾏中, 使⽤ --ssl-ca, --ssl-cert, --ssl-key 这三个参数来指定 SSL 连接所需要的 CA 证书, RSA 私钥和客户端证书.登录成功后, 我们执⾏ s 命令:
mysql> \\s--------------mysql Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using EditLine wrapperConnection id: 5Current database:
Current user: ssl_test@172.17.0.5
SSL: Cipher in use is DHE-RSA-AES256-SHACurrent pager: stdoutUsing outfile: ''Using delimiter: ;
Server version: 5.7.17 MySQL Community Server (GPL)Protocol version: 10
Connection: test_db via TCP/IPServer characterset: latin1Db characterset: latin1Client characterset: latin1Conn. characterset: latin1TCP port: 3306
Uptime: 6 min 8 sec
Threads: 2 Questions: 10 Slow queries: 0 Opens: 113 Flush tables: 1 Open tables: 106 Queries per second avg: 0.027--------------
输出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 信息则说明我们确实是使⽤了 SSL 连接的 MySQL 服务器.
因篇幅问题不能全部显示,请点此查看更多更全内容