【MySQL&SSL】How To Configure SSL/TLS for MySQL on CentOS7.x?

最新推荐文章于 2025-03-11 11:05:43 发布
原创 最新推荐文章于 2025-03-11 11:05:43 发布 · 367 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

一、实验背景

MySQL默认的数据通道是不加密的,在一些安全性要求特别高的场景下,我们需要配置MySQL端口为SSL,使得数据通道加密处理,避免敏感信息泄漏和被篡改。

当然,启用MySQL SSL之后,由于每个数据包都需要加密和解密,这个对MySQL的性能是有不小影响的,们在使用的时候,要根据实际情况斟酌。

MySQL客户端登录服务器时候的密码不是明文传输,有加密策略处理。

 

MySQL 连接方式

下面我们测试 MySQL SSL+密码+密钥的连接方式。

 

二、实验环境

MySQL版本: 5.7.27

IP:192.168.1.105

 

# systemctl status mysqld

# cat /etc/systemd/system/mysqld.service

# /usr/bin/mysql_ssl_rsa_setup  --help

# /usr/bin/mysql_ssl_rsa_setup   --daradir=/opt/mysqldata  --uid-mysql

# ll  /opt/mysqldata/*.pem

 

MySQL5.7.x data(数据)目录下生成的这些pem文件是用于启用SSL功能的。

这些文件是证书颁发机构(以“ca”开头),MySQL服务器进程(以“服务器”开头)和MySQL客户端(以“客户端”开头)的密钥和证书对。 此外,当不使用SSL时,MySQL使用private_key.pem和public_key.pem文件来安全地传输密码。

 

三、开启服务端SSL

 

添加SSL相关配置

# vim   /opt/mysqlconfig/mysqld.cnf

#########################################

[mysqld]

require_secure_transport = ON

ssl-ca                  = /var/lib/mysql/ca.pem

ssl-cert                = /var/lib/mysql/server-cert.pem

ssl-key                  = /var/lib/mysql/server-key.pem

##########################################

 

# docker exec -it mysql   mysql -u root -p"MySQL@123"

mysql>  ALTER USER 'root'@'%' REQUIRE X509;

mysql> FLUSH PRIVILEGES;

mysql> exit

# systemctl restart mysqld 

 

四、连接测试

 

在Windows上用Navicat for MySQL客户端

将 ca.pem  client-cert.pem  client-key.pem拷贝到windows文件夹

 

 

在其他服务器用MySQL命令行工具

将 ca.pem client-cert.pem  client-key.pem拷贝到其他服务的  /etc/mysqlSSL 目录

# chmd 700  /etc/mysqlSSL

# chmod  400 /etc/mysqlSSL/*

 

# mysql --help | grep ssl

# mysql -u root -h 192.168.1.105 -p"MySQL@123" 

 

# mysql -u root -h 192.168.1.105 -p"MySQL@123" \

  --ssl-mode=VERIFY_CA \

  --ssl-ca=/etc/mysqlSSL/ca.pem \

  --ssl-cert=/etc/mysqlSSL/client-cert.pem  \

  --ssl-key=/etc/mysqlSSL/client-key.pem

 

关于 ssl_mode

Alternatives are: 'DISABLED','PREFERRED','REQUIRED','VERIFY_CA','VERIFY_IDENTITY'

SSL connection error: CA certificate is required if ssl-mode is VERIFY_CA or VERIFY_IDENTITY

 

看服务端审计日志

 

如果不想在客户端用MySQL命令行工具指定证书参数,可以将其写在文件配置文件中

在客户端服务器

# vim /etc/my.cnf

###############################

[mysql]

ssl-ca=/etc/mysqlSSL/ca.pem

ssl-cert=/etc/mysqlSSL/client-cert.pem

ssl-key=/etc/mysqlSSL/client-key.pem

################################

 

五、关于MySQL JDBC

 

如何解决MySQL在高版本需要指明是否进行SSL连接问题

https://zhidao.baidu.com/question/2056521203295428667.html

https://blog.youkuaiyun.com/weixin_43201310/article/details/83146610

 

Warning about SSL connection when connecting to MySQL database

https://stackoverflow.com/questions/34189756/warning-about-ssl-connection-when-connecting-to-mysql-database

 

六、参考

MySQL开启ssl连接

https://blog.youkuaiyun.com/weixin_39845407/article/details/81708230

 

MySQL 5.7.x开启SSL连接

https://blog.youkuaiyun.com/weixin_34200628/article/details/89904819

 

mysql_ssl_rsa_setup - 创建SSL / RSA文件

https://www.docs4dev.com/docs/zh/mysql/5.7/reference/mysql-ssl-rsa-setup.html#mysql-ssl-rsa-setup---%E5%88%9B%E5%BB%BAssl--rsa%E6%96%87%E4%BB%B6

 

MySQL Connection over SSL

https://www.heidisql.com/forum.php?t=19494

 

Debugging MySQL SSL problems

https://www.percona.com/blog/2012/11/08/debugging-mysql-ssl-problems

 

MySQL数据库连接useSSL=false

https://blog.youkuaiyun.com/UIYOOOO/article/details/80301411

 

Navicat for MySQL设置SSL属性的步骤

https://jingyan.baidu.com/article/ca41422f36b35b1eae99edc3.html

 

MySQL SSL: bad other signature confirmation

https://serverfault.com/questions/622317/mysql-ssl-bad-other-signature-confirmation

 

MySQL 5.7 SSL连接最佳实战

https://blog.youkuaiyun.com/qq_37322178/article/details/79177052

 

How To Configure SSL/TLS for MySQL on Ubuntu 16.04

https://www.digitalocean.com/community/tutorials/how-to-configure-ssl-tls-for-mysql-on-ubuntu-16-04

HunterMichaelG
关注
OpenNESS & OpenVINO Demo 部署
烟云的计算
11-11 3852
目录 文章目录目录部署架构部署 Edge Controller基础配置配置 Proxy配置防火墙Install necessary packageInstall MySQLInstall DockerInstall Docker Compose重启服务器部署 Controller 微服务下载 controller code repo配置各类文件,加入 Proxy URLBuild the cont...
centos7下安装Apache Guacamole安装脚本(一键脚本)
phrnet的博客
03-13 2587
首先确定电脑的SELINUX是不是enforcing模式,如果不是 到 /etc/sysconfig/selinux 修改为这个,然后重启 SELINUX=enforcing 然后,使用一键脚本:(如果没安装wget自己看着办吧) wget https://raw.githubusercontent.com/Zer0CoolX/guacamole-install-rhel/master/guac...
Mysql 8.0版本以上和8.0以下jar包版本 需要注意的 URL连接参数useSSL、serverTimezone 相关问题
杨明金的博客
06-17 3338
在语法上的需要注意的: MySQL 8.0 以下版本 - JDBC 驱动名及数据库 URL static final String JDBC_DRIVER = "com.mysql.jdbc.Driver"; static final String DB_URL = "jdbc:mysql://localhost:3306/test"; MySQL 8.0 以上版本 - JDBC 驱动名及数据库 URL static final String JDBC_DRIVER = "com.mysql.
数据库报错:Cause com.mysql.jdbc.exceptions.jdbc4.CommunicationsException:Communications link failure(已解决)
酷酷的馫博客
01-09 2万+
数据库报错:Cause com.mysql.jdbc.exceptions.jdbc4.CommunicationsException:Communications link failure(已解决)
MySQL高低版本切换:修改配置以解决SSL连接警告
master_chenchen的博客
06-11 845
MySQL的开发和运维过程中,版本的升级或降级是不可避免的任务之一。然而,在不同的版本之间切换时,经常会遇到由于配置不兼容引起的各种问题。本文将以AICode为例,详细讨论在MySQL 5.x到8.x版本切换期间,如何解决一个常见的安全问题——建立SSL连接时出现“无服务器身份验证”的警告。在进行MySQL版本切换时,正确的SSL配置对于保障数据安全至关重要。在切换过程中,密切监控系统日志和MySQL的错误日志,以便及时发现和解决由于SSL配置不当导致的问题。客户端也需要相应的配置以使用SSL连接
MySQL数据库支持SSL连接
weixin_34326558的博客
03-04 545
转自:http://hi.baidu.com/freeners/blog/item/ab950513a5efe70c4a90a78c.html 这次为了研究MySQL yaSSL库证书解析栈溢出漏洞的扫描方法,搭建了一个环境,将此过程中的折腾记录一下。 [0x01] MySQLSSL的支持 MySQL支持SSL有两种方式,一种是使用OpenSSL,另一种是使...
centos configure SSL
stackoverflow
02-28 655
重启 nginx
centos7安装Keepalived2.0.8+MySQL5.7高可用 双主热备
hancc_824的博客
05-05 909
1.环境准备 角色 主机ip 主机名 操作系统版本 安装软件及版本 VIP 192.168.223.129 虚拟地址 master1 192.168.223.100 master1 CentOS 7.5 mysql5.7.27+keepalived2.0.8 master2 192.168.223.101 master2 CentOS 7.5 mysql5.7.27+k...
【技术调研】最强Node-RED初探总结
pdai的博客
06-06 2万+
在某个项目中需要调研下node-red的功能,我大概花了三天时间研究了相关的官方文档,写了几个Demo总结了下node-red相关的功能。如需转载,请注明出处 https://www.cnblogs.com/pengdai/p/9143617.html —–2017年12月 @pdai 内容目录 内容目录 Introduction Features Browser-based...
WebRTC--从编译到部署,打造点对点音视频通话服务器
aruba的博客
07-09 1480
简单介绍 WebRTC实现了基于网页的视频会议,是一个支持网页浏览器进行实时语音对话或视频对话的API(来自百度),由google开发,并于2011年6月3日开源。 和直播推流不同,这是点对点通讯,服务器只是帮助建立连接,以满足视频通话的低延迟要求 分为三个服务器: 1.房间服务器:创建房间,让用户可以在一个房间内通讯 2.信令服务器:用于用户交换信令,建立连接,类似TCP握手 3.IC...
MySQL 使用 SSL 连接配置详解
09-09
本文给大家分享的是如何配置MySQL支持SSL连接方式的方法以及在docker中配置的具体案例,有需要的小伙伴可以参考下
MySQL SSL连接配置完全指南
IT程序员分享文章-宇哥网络科技
03-11 2726
SSL (Secure Sockets Layer) 连接可以加密MySQL客户端和服务器之间的通信,提高数据传输的安全性。本文将详细介绍如何在MySQL中配置和使用SSL连接,包括服务器端和客户端的配置步骤,以及不同场景下的配置方法。加密客户端和服务器之间的数据传输防止数据在传输过程中被窃听验证服务器身份,防止中间人攻击满足数据安全合规要求通过配置MySQLSSL连接,可以显著提高数据传输的安全性,防止数据在传输过程中被窃听或篡改。
Mysql ssl 连接
weixin_30532973的博客
12-18 637
在Azure创建了一个Mysql5.7服务,因为默认使用ssl连接,需要下载Azure的证书,并使用openssl生成客户端的证书。具体流程参考官方文档 大致步骤: 下载根证书, 安装openssl, 使用openssl命令行转换为pem格式文件(比如windows下,运行openssl.exe ,会出现交互式窗口,再运行命令) 使用客户端指定pem,连接数据库 这里有个问题点...
jdbcURL连接参数
热门推荐
qq_36793179的博客
06-15 3万+
jdbc:mysql://192.168.0.105:3306/shgb_fz?useUnicode=true&characterEncoding=UTF8&autoReconnect=true&zeroDateTimeBehavior=convertToNull 参数名称                    参数说明                              
运维学习:常用运维工具
Howei__的博客
10-30 5629
远程连接工具 Xhell **连接方式** 常用快捷键 文件传输 WinSCP 功能 Secret CRT PuTTY FTP客户端工具 FileZilla FlashFXP 端口检测工具 tcping Linux下使用tcping Windows 下使用tcping 参数说明 远程协助工具 TeamViewer 向日葵 子网掩码演算器 VNC client RealVNC VNC Server VNC Viewer
Mysql使用SSL连接
weixin_44462773的博客
09-27 1万+
Mysql使用SSL连接1.描述2.安装 OpenSSL3. 使用 OpenSSL 创建 SSL 证书和私钥3.1 修改mysql 的my.ini配置文件3.2 创建 SSL 证书和私钥3.3 验证是否连接成功4. 添加信任证书到密钥库5.jdbc访问 1.描述   项目部署时要求对数据库进行加密连接,需要用到SSL连接,记录一下。  首先在 MySQL 上执行如下命令, 查询当前版本的mysql是否支持 SSL:         show variables like '%ssl%'; 当 have
MysqlSSL加密连接
qq_56947957的博客
12-14 1742
即使 MySQL 启用了 SSL 连接,你在连接时可以选择是否使用 SSLMySQL 允许通过配置来决定是否强制要求客户端使用 SSL。即使 MySQL 启用了 SSL,你也可以连接到数据库,而不使用加密的 SSL 连接。,即是否要求客户端与数据库的通信必须通过加密通道进行。启用 SSL 可以确保数据库连接的安全性,防止数据在网络中被窃听或篡改。这将启用 SSL 连接,并使用你提供的证书来验证连接的安全性。,是指检查数据库(如 MySQL是否配置了。),你仍然可以选择使用不加密的连接
MySQL配置SSL连接
奇怪的老司机
06-03 988
1,服务器上安装了MySQL但并未初始化,需切换到安装目录下执行下面的程序来生成ssl-key,数据目录中的pem文件即各种证书。如下图:./bin/mysql_ssl_rsa_setup2,服务器上的MySQL服务器已经初始化并在运行中,需先关闭mysql服务,再执行mysql_ssl_rsa_setup来生成证书。不能在运行时生成证书,配置完成后再重启服务,那样会导致ssl配置不生效。3,修...
debian12安装root@debian:/usr/src/asterisk-13.38.3# ./configure --with-crypto --with-ssl --with-srtp --with-pjproject-bundled checking build system type... x86_64-pc-linux-gnu checking host system type... x86_64-pc-linux-gnu checking for gcc... gcc checking whether the C compiler works... yes checking for C compiler default output file name... a.out checking for suffix of executables... checking whether we are cross compiling... no checking for suffix of object files... o checking whether we are using the GNU C compiler... yes checking whether gcc accepts -g... yes checking for gcc option to accept ISO C89... none needed checking how to run the C preprocessor... gcc -E checking for grep that handles long lines and -e... /usr/bin/grep checking for egrep... /usr/bin/grep -E checking for ANSI C header files... yes checking for sys/types.h... yes checking for sys/stat.h... yes checking for stdlib.h... yes checking for string.h... yes checking for memory.h... yes checking for strings.h... yes checking for inttypes.h... yes checking for stdint.h... yes checking for unistd.h... yes checking minix/config.h usability... no checking minix/config.h presence... no checking for minix/config.h... no checking whether it is safe to define __EXTENSIONS__... yes checking whether char is unsigned... no checking for uname... /usr/bin/uname checking for g++... g++ checking whether we are using the GNU C++ compiler... yes checking whether g++ accepts -g... yes checking how to run the C preprocessor... gcc -E checking how to run the C++ preprocessor... g++ -E checking for a sed that does not truncate output... /usr/bin/sed checking for egrep... grep -E checking for ld used by gcc... /usr/bin/ld checking if the linker (/usr/bin/ld) is GNU ld... yes checking for gawk... no checking for mawk... mawk checking for a BSD-compatible install... /usr/bin/install -c checking whether ln -s works... yes checking for ranlib... ranlib checking for GNU make... make checking for egrep... (cached) /usr/bin/grep -E checking for strip... strip checking for ar... ar checking for bison... : checking for cmp... /usr/bin/cmp checking for cat... /usr/bin/cat checking for cut... /usr/bin/cut checking for flex... : checking for grep... (cached) /usr/bin/grep checking for python2.7... no checking for python2... no checking for python... no checking for python3... /usr/bin/python3 checking for find... /usr/bin/find checking for basename... /usr/bin/basename checking for dirname... /usr/bin/dirname checking for sh... /bin/bash checking for ln... /usr/bin/ln checking for doxygen... : checking for dot... : checking for wget... /usr/bin/wget checking for curl... /usr/bin/curl checking for xmllint... : checking for xmlstarlet... no checking for xml... no checking for bash... /bin/bash checking for git... /usr/bin/git checking for alembic... : checking for bzip2... /usr/bin/bzip2 checking for tar... /usr/bin/tar checking for patch... /usr/bin/patch checking for sed... (cached) /usr/bin/sed checking for nm... /usr/bin/nm checking for ldconfig... /sbin/ldconfig checking for sha1sum... /usr/bin/sha1sum checking for openssl... /usr/bin/openssl checking for bison that supports parse-param... checking for soxmix... no checking for md5... no checking for md5sum... md5sum checking for a sed that does not truncate output... (cached) /usr/bin/sed checking whether gcc is Clang... no checking whether pthreads work with -pthread... yes checking for joinable pthread attribute... PTHREAD_CREATE_JOINABLE checking whether more special flags are required for pthreads... no checking for PTHREAD_PRIO_INHERIT... yes checking for RAII support... checking for gcc -fnested-functions... no checking for clang strsep/strcmp optimization... no checking for embedded pjproject (may have to download)... configuring [pjproject] Verifying /tmp/pjproject-2.10.tar.bz2 [pjproject] Verify successful [pjproject] Unpacking /tmp/pjproject-2.10.tar.bz2 [pjproject] Applying patches /usr/src/asterisk-13.38.3/third-party/pjproject/patches /usr/src/asterisk-13.38.3/third-party/pjproject/source The text leading up to this was: -------------------------- |From e8000cc80e5f8ba02cc52852edc02cdb0e949525 Mon Sep 17 00:00:00 2001 |From: Richard Mudgett <rmudgett@digium.com> |Date: Mon, 6 Aug 2018 11:24:25 -0500 |Subject: [PATCH 1/5] 0000-configure-ssl-library-path.patch | |--- | aconfigure | 6 +++++- | aconfigure.ac | 6 +++++- | 2 files changed, 10 insertions(+), 2 deletions(-) | |diff --git a/aconfigure b/aconfigure |index 1c449b8..c4c6060 100755 |--- a/aconfigure |+++ b/aconfigure -------------------------- File to patch:
最新发布
07-30
./configure --with-pjproject-bundled=/tmp/pjproject-2.10 --with-crypto --with-ssl --with-srtp ``` ### 替代方案:跳过问题补丁 如果上述方法无效,我们可以考虑跳过这个补丁。修改Asterisk中pjproject的...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值