mysql 配置支持SSL连接

最新推荐文章于 2025-07-05 08:22:36 发布
最新推荐文章于 2025-07-05 08:22:36 发布
阅读量1.4w 收藏 11
点赞数 1
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/johnhill_/article/details/72831932
本文详细介绍了如何在MySQL环境中配置SSL连接,包括确认SSL状态、修改my.cnf配置、生成及转换证书和私钥,以及服务器端和客户端的SSL配置。通过这些步骤,确保了MySQL服务能够接受SSL加密的客户端连接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

通过以下命令确认mysql Server环境:


MariaDB [(none)]>  show variables like '%ssl%';


如果显示,


+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |
| have_ssl      | DISABLED |
| ssl_ca        |          |
| ssl_capath    |          |
| ssl_cert      |          |
| ssl_cipher    |          |
| ssl_key       |          |
+---------------+----------+
7 rows in set (0.01 sec)

表明Mysql Server不支持SSL。


通过修改my.cnf完成配置

vim /etc/my.cnf


在 [mysqld] 下面 添加 ssl 后,保存。

service mariadb stop

service mariadb start

重启mysql服务


此时再打开数据库查询SSL状态:

MariaDB [(none)]> show variables like '%ssl%';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_openssl  | YES   |
| have_ssl      | YES   |
| ssl_ca        |       |
| ssl_capath    |       |
| ssl_cert      |       |
| ssl_cipher    |       |
| ssl_key       |       |
+---------------+-------+
7 rows in set (0.00 sec)

发现mysql已经支持SSL


#使用OpenSSL来创建证书和私钥

先确认openssl安装

[root@mcu web]# openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013
[root@mcu web]#

新建一个 ./cert 目录, 用于存放生成的证书和私钥

[root@mcu mcu]# mkdir ./cert
[root@mcu mcu]# cd ./cert/


#创建 CA 私钥和 CA 证书

然后, 我们先来生成一个 CA 私钥:

openssl genrsa 2048 > ca-key.pem

当有了一个 CA 私钥, 我们接下来就可以使用这个私钥生成一个新的数字证书:

openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

执行这个命令时, 会需要填写一些问题, 随便填写就可以了.

执行上述命令后, 我们就有了一个 CA 私钥和一个 CA 证书.


#创建服务器端的 RSA 私钥和数字证书

接着, 我们需要创建服务器端的私钥和一个证书请求文件, 命令如下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

上面这个命令会生成一个新的私钥(server-key.pem), 同时会使用这个新私钥来生成一个证书请求文件(server-req.pem).
上面这个命令同样需要回答几个问题, 随便填写即可. 不过需要注意的是, A challenge password 这一项需要为空.


下一步, 我们需要将生成的私钥转换为 RSA 私钥文件格式:

openssl rsa -in server-key.pem -out server-key.pem


最后一步, 我们需要使用原先生成的 CA 证书来生成一个服务器端的数字证书:

openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

上面的命令会创建服务器端的数字证书文件.


#创建客户端的 RSA 私钥和数字证书

和服务器端所执行的命令类似, 我们也需要为客户端生成一个私钥和证书请求文件, 命令如下, challenge password 留空:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem


同样地, 我们需要将生成的私钥转换为 RSA 私钥文件格式:

openssl rsa -in client-key.pem -out client-key.pem


最后, 我们也需要为客户端创建一个数字证书:

openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem


#SSL 配置

在前面的步骤中, 我们已经生成了8个文件, 分别是:

ca-cert.pem: CA 证书, 用于生成服务器端/客户端的数字证书.
ca-key.pem: CA 私钥, 用于生成服务器端/客户端的数字证书.
server-key.pem: 服务器端的 RSA 私钥
server-req.pem: 服务器端的证书请求文件, 用于生成服务器端的数字证书.
server-cert.pem: 服务器端的数字证书.
client-key.pem: 客户端的 RSA 私钥
client-req.pem: 客户端的证书请求文件, 用于生成客户端的数字证书.
client-cert.pem: 客户端的数字证书.

接下来我们就需要分别配置服务器端和客户端.


#服务器端配置

服务器端需要用到三个文件, 分别是: CA 证书, 服务器端的 RSA 私钥, 服务器端的数字证书, 我们需要在 [mysqld] 配置域下添加如下内容:

? 
ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem

接着我们还可以更改 bind-address, 使 MySQL 服务可以接收来自所有 ip 地址的客户端, 即:

bind-address = *

当配置好后, 我们需要重启 MySQL 服务, 使能配置.

最后一步, 我们添加一个需要使用 SSL 才可以登录的帐号, 来验证一下我们所配置的 SSL 是否生效:

复制代码 代码如下:
GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;
FLUSH PRIVILEGES;

当配置好后, 使用 root 登录 MySQL, 执行 show variables like '%ssl%' 语句会有如下输出:

MariaDB [(none)]> show variables like '%ssl%'
    -> ;
+---------------+----------------------------+
| Variable_name | Value                      |
+---------------+----------------------------+
| have_openssl  | YES                        |
| have_ssl      | YES                        |
| ssl_ca        | /etc/mysql/ca-cert.pem     |
| ssl_capath    |                            |
| ssl_cert      | /etc/mysql/server-cert.pem |
| ssl_cipher    |                            |
| ssl_key       | /etc/mysql/server-key.pem  |
+---------------+----------------------------+
7 rows in set (0.00 sec)


#客户端配置

客户端配置相对简单一些. 首先我们需要拷贝 ca-cert.pem, client-cert.pem 和 client-key.pem 这三个文件到客户端主机中, 然后我们可以执行如下命令来使用 SSL 连接 MySQL 服务:

mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -h host_name -u ssl_test -p
除了上述的使用命令行方式配置 SSL 外, 我们也可以使用配置文件的方式. 即在 etc/my.cnf 文件中添加如下内容即可:

[client]
default-character-set=utf8
ssl-ca=/path/to/ca-cert.pem
ssl-cert=/path/to/client-cert.pem
ssl-key=/path/to/client-key.pem

如果出现以下错误 

ERROR 2026 (HY000): SSL connection error: SSL_CTX_set_default_verify_paths failed

表明ssl 认证文件无法被访问。把ca文件放到可被访问的目录即可。


如果出现以下错误

ERROR 2026 (HY000): SSL connection error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed

可能 cert文件中Common Name字段server的证书和client的证书一致了,该字段不能一致


如果出现以下错误

ERROR 1045 (28000): Access denied for user 'ssl_test'@'10.35.8.182' (using password: YES)

则需要在连接时增加以下选项  

--ssl-cipher=AES128-SHA


当连接成功后, 我们执行如下指令

MariaDB [(none)]> \s
--------------
mysql  Ver 15.1 Distrib 5.5.41-MariaDB, for Linux (x86_64) using readline 5.1

Connection id:          13
Current database:
Current user:           ssl_test@10.35.8.182
SSL:                    Cipher in use is AES128-SHA
Current pager:          stdout
Using outfile:          ''
Using delimiter:        ;
Server:                 MariaDB
Server version:         5.5.44-MariaDB MariaDB Server
Protocol version:       10
Connection:             10.35.11.196 via TCP/IP
Server characterset:    utf8
Db     characterset:    utf8
Client characterset:    utf8
Conn.  characterset:    utf8
TCP port:               3306
Uptime:                 1 hour 6 min 31 sec

Threads: 6  Questions: 3135  Slow queries: 0  Opens: 13  Flush tables: 2  Open tables: 39  Queries per second avg: 0.785
--------------

MariaDB [(none)]>


johnhill_
关注
mysql 5.6 配置ssl_Mysql配置ssl证书
weixin_31041421的博客
01-19 1664
本环境基于mysql5.6配置,通过openssl生成证书进行配置一、确认环境信息1、查看数据库版本mysql> select version();+-----------+| version() |+-----------+| 5.6.36 |+-----------+2、查看数据库是否支持ssl配置mysql> show variables like 'have%ssl%';...
MySQL数据库SSL配置SSL连接测试
sunny05296的博客
04-24 6209
环境信息:Centos7 + MySQL 5.7.21。在该环境上进行SSL连接测试。
MySQL workbench问题:SSL connection error: SSL is required but the server doesn‘t support it.
hongweigg的专栏
12-21 9292
问题: MySQL workbench 8.0.27版本连接本地MySQL数据库报SSL connection error: SSL is required but the server doesn't support it. 解决: 不启用SSL,在Advance TAB页,Others框中输入参数:useSSL=0,然后就可以连接上了。 ...
MySQL(118)如何使用SSL进行加密连接
最新发布
qq_43012298的博客
07-05 1078
本文详细介绍了在Java应用中通过SSL加密连接MySQL数据库的方法。首先讲解了使用OpenSSL生成CA证书、服务器和客户端证书的过程,然后说明了如何配置MySQL服务器启用SSL功能。接着介绍了在Java项目中添加MySQL驱动依赖,并通过JDBC配置SSL连接参数。最后提供了将PEM证书转换为Java Keystore格式的步骤,以及测试连接的方法。通过这套完整的SSL加密方案,可以有效保障数据库传输的安全性,防止数据被窃取或篡改。
MySQL Workbench 8.0提示SSL connection error: SSL is required but the server doesn‘t support it
haohaifeng002的博客
12-09 5317
SSL connection error: SSL is required but the server doesn‘t support it
mysql/mariadb Errno:2026 TLS/SSL error: SSL is required, but the server does not support it.(C/C++)
本尔2008的博客
12-13 794
优雅的方法通过配置MYSQL_OPT_SSL_VERIFY_SERVER_CERT该选项即可。从头文件中可以看到use_ssl是暴露在外面的,可通过配置指针配置。使用新版mysql库时报如下问题。控制台可参考此人写的方式。
mysql+禁用ssl连接_配置MySQL用于SSL,但SSL仍然是禁用的..!
weixin_30909915的博客
01-19 2472
我使用以下脚本为MySQL配置SSL.#!/bin/bash#mkdir -p /root/abc/ssl_certscd /root/abc/ssl_certs#echo "--> 1. Create CA cert, private key"openssl genrsa 2048 > ca-key.pemecho "--> 2. Create CA cert, certif...
MySQL 使用 SSL 连接配置详解
09-09
本文将详细介绍如何配置MySQL支持SSL连接,以及在Docker环境中进行配置的具体步骤。 首先,你需要确认MySQL是否已经支持SSL。在MySQL客户端中运行以下查询: ```sql mysql> SHOW VARIABLES LIKE 'have_ssl'; ``` ...
MySQL SSL连接配置完全指南
IT程序员分享文章-宇哥网络科技
03-11 2109
SSL (Secure Sockets Layer) 连接可以加密MySQL客户端和服务器之间的通信,提高数据传输的安全性。本文将详细介绍如何在MySQL配置和使用SSL连接,包括服务器端和客户端的配置步骤,以及不同场景下的配置方法。加密客户端和服务器之间的数据传输防止数据在传输过程中被窃听验证服务器身份,防止中间人攻击满足数据安全合规要求通过配置MySQLSSL连接,可以显著提高数据传输的安全性,防止数据在传输过程中被窃听或篡改。
MySQL配置SSL连接
奇怪的老司机
06-03 928
1,服务器上安装了MySQL但并未初始化,需切换到安装目录下执行下面的程序来生成ssl-key,数据目录中的pem文件即各种证书。如下图:./bin/mysql_ssl_rsa_setup2,服务器上的MySQL服务器已经初始化并在运行中,需先关闭mysql服务,再执行mysql_ssl_rsa_setup来生成证书。不能在运行时生成证书,配置完成后再重启服务,那样会导致ssl配置不生效。3,修...
怎样看mysql是不是支持SSL_mysql是如何支持ssl通信的?
weixin_42510567的博客
01-27 353
MySQL是如何生成sslZ证书和密钥的呢?下面让我们来看看,在mysql数据库中,是支持ssl通信的,但是呢,需要先生成证书和密钥才可以。MySQL支持SSL通信,不过需要自行生成所需要的证书和密钥。生成过程中请根据提示提供相应的信息。如果证书只是用来测试,一路回车即可;如果在实际环境中使用,尽量提供有意义的信息。如果某个信息要留空,可以输入英文句号(.)。请自行保存生成过程中所输入的证书密码。...
Mysql连接时警告提示【WARN: Establishing SSL connection without server's identity verification is not recomm】
suxue1994的博客
03-22 1395
问题描述 Mysql连接时能正确返回结果但是有警告,大概意思是:说建立ssl连接,但是服务器没有身份认证,这种方式不推荐使用。 解决方案 在URL链接后加上 ?useUnicode=true&characterEncoding=utf-8&useSSL=false 例如: (原来的) mysqlURL=”jdbc:mysql://localhost:3306/cla
MySQL workbench 8.0.27版本连接本地MySQL数据库报SSL错误
分享DotNet技术和日常开发笔记,DotNet,Python为主。
06-01 1260
MySQL workbench 8.0.27版本连接本地MySQL数据库报SSL connection error: SSL is required but the server doesn't support it.不启用SSL,在Advance TAB页,Others框中输入参数:useSSL=0,然后就可以连接上了。
Django使用mysql8.0报错 django.db.utils.OperationalError: (2026,'SSL connection error: SSL_CTX_set_tmp_d
weixin_41775301的博客
11-26 2733
环境(Django2.2,python3.6.9,openssl==1.1.1d) django setting配置。 使用conda原因,此时openssl版本为1.1.1d。 将openssl版本降为1.0.2r问题解决 使用命令: conda install openssl=1.0.2r ...
mysql ssl 2026_mysql ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(...
weixin_30556871的博客
01-20 2109
Background:I'm trying to log in via command line to a mysql database set up by one of our admins. I see that they have ssl enabled because when I try to connect i get this message: mysql --user=root...
ERROR 2026 (HY000): SSL connection error: ASN: before date in the future
zoushichao_的博客
06-05 6203
今天搭建mysql数据库基于ssl实现主从复制时,在slave服务器测试登陆master服务器时,发生错误:ERROR 2026 (HY000): SSL connection error: ASN: before date in the futureERROR 2026 (HY000): SSL connection error: protocol version mismatch于是上网查了下...
mysql 5.6 使用ssl_PHP 5.6,MySQL,SSL和自签名证书
weixin_31508009的博客
02-01 319
做了一些研究后,我找到了问题的答案:1.错误“dh键太小”由于logjam,DH密钥大小现在必须大于768位,而MySQL的默认大小是512位. (注意:这将在MySQL 5.7中修复).您必须在连接中提供适当的密码,例如: CAMELLIA128-SHA.$db->ssl_set('/etc/mysql/certs/client-key.pem', '/etc/mysql/certs/cl...
mysql数据库不能定位_mysql 无法连接问题的定位和修复过程分享
weixin_42515377的博客
01-30 562
定位结果如下:客户环境:windows server 2003 r2 standard edition sp2mysql Ver 14.12 Distrib 5.0.18, for Win32 (ia32)apache 2.2瑞星webshield客户端1.08问题已复现。可以优化,无法确定是webshield导致的。搭建环境:windows server 2003 r2 standard edi...
Mysql SSL 2206错误
root_1的博客
03-22 3796
Mysql SSL 2026错误错误的处理 如果不是开启了SSL认证,需要查看是不是用低版本如5.7.x的libmysql连接了高版本的服务端8.0.x
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值