masyarakat
Belajar
Perpustakaan Alatan
Alat AI
Masa lapang
cari
Melayu
Rumah > pangkalan data > tutorial mysql > Bagaimana saya mengkonfigurasi penyulitan SSL/TLS untuk sambungan MySQL?

Bagaimana saya mengkonfigurasi penyulitan SSL/TLS untuk sambungan MySQL?

James Robert Taylor
Lepaskan: 2025-03-18 12:01:35
asal
404 orang telah melayarinya

Bagaimana saya mengkonfigurasi penyulitan SSL/TLS untuk sambungan MySQL?

Untuk mengkonfigurasi penyulitan SSL/TLS untuk sambungan MySQL, ikuti langkah -langkah ini:

  1. Sediakan sijil SSL/TLS : Anda perlu mempunyai sijil SSL/TLS siap. Ini termasuk sijil pelayan ( server-cert.pem ), kunci pelayan ( server-key.pem ), sijil klien ( client-cert.pem ), dan kunci klien ( client-key.pem ). Fail -fail ini harus diletakkan di direktori selamat pada pelayan MySQL anda.

  2. Konfigurasikan Server MySQL : Edit fail konfigurasi MySQL ( my.cnf atau my.ini bergantung pada sistem operasi anda). Tambah atau ubah suai baris berikut di bawah bahagian [mysqld] :

     <code>[mysqld] ssl-ca=/path/to/ca-cert.pem ssl-cert=/path/to/server-cert.pem ssl-key=/path/to/server-key.pem</code>
    Salin selepas log masuk

    Menggantikan /path/to/ dengan laluan sebenar di mana sijil anda disimpan.

  3. Mulakan semula Server MySQL : Setelah mengemas kini konfigurasi, mulakan semula pelayan MySQL untuk memohon perubahan.

  4. Sahkan Konfigurasi SSL Server : Sambungkan ke MySQL dan jalankan arahan berikut untuk mengesahkan bahawa pelayan menggunakan SSL:

     <code>SHOW VARIABLES LIKE 'have_ssl';</code>
    Salin selepas log masuk
    Salin selepas log masuk

    Output harus menunjukkan YES .

  5. Konfigurasikan klien MySQL : Untuk memastikan bahawa klien juga menggunakan SSL untuk sambungan, anda boleh menentukan pilihan SSL dalam fail konfigurasi klien atau semasa runtime. Sebagai contoh, anda boleh menambah baris berikut ke bahagian [client] fail konfigurasi klien MySQL anda ( my.cnf atau my.ini ):

     <code>[client] ssl-ca=/path/to/ca-cert.pem ssl-cert=/path/to/client-cert.pem ssl-key=/path/to/client-key.pem</code>
    Salin selepas log masuk

  6. Ujian SSL Sambungan : Sambung ke Server MySQL menggunakan klien, menyatakan pilihan SSL jika belum dikonfigurasi dalam fail konfigurasi klien. Gunakan arahan:

     <code>mysql -h hostname -u username -p --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem</code>
    Salin selepas log masuk
    Salin selepas log masuk

    Setelah disambungkan, anda boleh mengesahkan status SSL dengan menjalankan:

     <code>STATUS;</code>
    Salin selepas log masuk
    Salin selepas log masuk

    Output harus menunjukkan SSL: Cipher in use .

Apakah langkah -langkah untuk menjana dan memasang sijil SSL untuk MySQL?

Untuk menjana dan memasang sijil SSL untuk MySQL, ikuti langkah -langkah ini:

  1. Menjana Sijil Pihak Berkuasa Sijil (CA) : Gunakan OpenSSL untuk membuat sijil dan kunci CA. Jalankan arahan berikut:

     <code>openssl genrsa 2048 > ca-key.pem openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca-cert.pem</code>
    Salin selepas log masuk

    Anda akan diminta memasukkan butiran mengenai CA, seperti nama negara dan nama organisasi.

  2. Menjana sijil pelayan dan kunci : Buat permintaan sijil pelayan dan tandatangannya dengan CA:

     <code>openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem openssl rsa -in server-key.pem -out server-key.pem openssl x509 -req -in server-req.pem -days 3600 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem</code>
    Salin selepas log masuk

    Apabila menjana permintaan pelayan, pastikan Common Name sepadan dengan nama hos pelayan MySQL anda.

  3. Menjana sijil dan kunci pelanggan : Begitu juga, buat permintaan sijil klien dan tandatangannya dengan CA:

     <code>openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem openssl rsa -in client-key.pem -out client-key.pem openssl x509 -req -in client-req.pem -days 3600 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 02 -out client-cert.pem</code>
    Salin selepas log masuk
  4. Pasang sijil : Letakkan sijil dan kunci yang dihasilkan dalam direktori selamat pada pelayan MySQL anda. Sebagai contoh, anda mungkin menggunakan /etc/mysql/ssl/ .
  5. Konfigurasikan MySQL untuk menggunakan sijil : Edit fail konfigurasi MySQL ( my.cnf atau my.ini ) untuk menunjuk kepada fail sijil, seperti yang diterangkan dalam bahagian sebelumnya.
  6. Selamatkan fail sijil : Pastikan direktori dan fail hanya boleh diakses oleh proses pelayan MySQL dan keizinannya ditetapkan dengan betul untuk mengelakkan akses yang tidak dibenarkan.

Bolehkah saya menggunakan sijil ditandatangani sendiri untuk penyulitan MySQL SSL/TLS, dan apakah implikasi keselamatan?

Ya, anda boleh menggunakan sijil ditandatangani sendiri untuk penyulitan MySQL SSL/TLS. Walau bagaimanapun, terdapat beberapa implikasi keselamatan untuk dipertimbangkan:

  • Isu Amanah : Sijil ditandatangani sendiri tidak dikeluarkan oleh Pihak Berkuasa Sijil yang Dipercayai (CA), jadi pelanggan mesti mempercayai mereka dengan jelas. Ini boleh menjadi isu penting jika pelanggan tidak dikonfigurasi dengan betul, kerana mereka mungkin menolak sambungan.
  • Serangan Man-in-the-Middle (MITM) : Tanpa CA yang dipercayai, lebih mudah bagi penyerang untuk memintas sambungan dan mengemukakan sijil palsu, yang membawa kepada serangan MITM yang berpotensi. Dalam kes sedemikian, pelanggan mungkin tidak dapat membezakan antara pelayan tulen dan penyerang.
  • Kerumitan Pengesahan : Menggunakan sijil ditandatangani sendiri memerlukan lebih banyak konfigurasi dan pengesahan manual. Sebagai contoh, anda perlu memastikan bahawa konfigurasi klien termasuk laluan yang betul ke sijil CA.
  • Skop terhad : Sijil ditandatangani sendiri biasanya sesuai untuk kegunaan dalaman dalam persekitaran terkawal. Mereka kurang sesuai untuk aplikasi yang dihadapi awam di mana pelanggan tidak berada di bawah kawalan anda.
  • Amalan Terbaik Keselamatan : Walaupun sijil yang ditandatangani sendiri dapat memberikan penyulitan, mereka tidak menawarkan tahap pengesahan yang sama seperti sijil yang dikeluarkan oleh CA yang dipercayai. Untuk persekitaran pengeluaran dengan keperluan keselamatan yang tinggi, menggunakan sijil dari CA yang dipercayai adalah disyorkan.

Bagaimanakah saya mengesahkan bahawa penyulitan SSL/TLS berfungsi dengan betul untuk sambungan MySQL saya?

Untuk mengesahkan bahawa penyulitan SSL/TLS berfungsi dengan betul untuk sambungan MySQL anda, ikuti langkah -langkah ini:

  1. Semak Konfigurasi Pelayan MySQL : Sambungkan ke pelayan MySQL dan jalankan:

     <code>SHOW VARIABLES LIKE 'have_ssl';</code>
    Salin selepas log masuk
    Salin selepas log masuk

    Output harus menunjukkan YES , menunjukkan bahawa SSL diaktifkan.

  2. Sahkan Status Sambungan SSL : Setelah disambungkan ke pelayan MySQL, jalankan:

     <code>STATUS;</code>
    Salin selepas log masuk
    Salin selepas log masuk

    Output harus termasuk medan SSL yang menunjukkan cipher yang digunakan, contohnya, SSL: Cipher in use is TLS_AES_256_GCM_SHA384 .

  3. Gunakan arahan SHOW STATUS : Jalankan arahan berikut untuk mendapatkan maklumat yang lebih terperinci mengenai sambungan SSL:

     <code>SHOW STATUS LIKE 'Ssl_cipher';</code>
    Salin selepas log masuk

    Ini harus menunjukkan cipher yang digunakan untuk sambungan semasa.

  4. Semak Sambungan Pelanggan dengan Pilihan SSL : Sambungkan ke Server MySQL menggunakan klien dengan pilihan SSL yang ditentukan:

     <code>mysql -h hostname -u username -p --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem</code>
    Salin selepas log masuk
    Salin selepas log masuk

    Sambungan harus berjaya, dan anda boleh mengesahkan status SSL menggunakan arahan STATUS .

  5. Pantau Metrik Sambungan SSL : Anda boleh memantau metrik sambungan SSL dengan menjalankan:

     <code>SHOW GLOBAL STATUS LIKE 'Ssl%';</code>
    Salin selepas log masuk

    Perintah ini menyediakan pelbagai pembolehubah status yang berkaitan dengan SSL, seperti Ssl_accepts , Ssl_accept_renegotiates , dan Ssl_client_connects , yang dapat membantu anda menilai penggunaan SSL keseluruhan pada pelayan anda.

Dengan mengikuti langkah -langkah ini, anda dapat memastikan bahawa penyulitan SSL/TLS dikonfigurasi dengan betul dan berfungsi untuk sambungan MySQL anda.

Atas ialah kandungan terperinci Bagaimana saya mengkonfigurasi penyulitan SSL/TLS untuk sambungan MySQL?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Artikel sebelumnya:Bagaimanakah saya menjamin MySQL terhadap kelemahan biasa (suntikan SQL, serangan kekerasan)? Artikel seterusnya:Bagaimana saya menggunakan ciri pembalakan audit MySQL untuk pematuhan keselamatan?
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Isu terkini
Topik-topik yang berkaitan
Lagi>
Cadangan popular
Tutorial Popular
Lagi>
Tutorial berkaitan
Cadangan popular
Kursus terkini
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan