> 文档中心 > Docker MySQL开启SSL加密传输方案

Docker MySQL开启SSL加密传输方案


Docker MySQL开启SSL加密传输方案

  • 产品:Docker MySQL
  • 版本: 5.6
  • 环境: CentOS Linux 7

文章目录

  • Docker MySQL开启SSL加密传输方案
      • 方案背景
      • 变更内容
      • 变更范围
      • 变更影响
      • 风险评估
      • 实施方案
      • 变更检验
      • 回退方案

方案背景

根据等保要求,生产数据库需开启SSL加密传输功能,避免以明文方式在网络中传输敏感信息,防止信息泄露;

变更内容

序号 变更步骤 操作时长
1 检查数据库SSL状态 2分钟
2 备份数据库参数文件 5分钟
3 创建SSL证书 5分钟
4 修改数据库参数文件 5分钟
5 重启数据库 5分钟
6 检查数据库SSL状态 2分钟
7 配置数据库账号SSL认证 2分钟
8 配置应用SSL连接串 10分钟
9 测试业务连接 10分钟

变更范围

序号 服务器用途 服务器IP Docker ID 数据库端口
1 生产库 192.168.1.14 ae86114514a8 24599

变更影响

变更过程中对业务影响 变更后对业务影响 预估操作影响时长
业务中断,无法对外提供服务 1小时

风险评估

操作过程存在一定风险,针对主要风险作出以下应对。对于风险状态的判断由实施当天的实施小组进行讨论后判定,提请现场工作组总指挥确认是否启动应急措施。

序号 风险点描述 影响范围 风险等级 应急措施
1 数据库启动异常 业务无法访问数据库 变更前备份数据库参数文件,发生异常时根据异常信息修复;
2 应用连接数据库异常 用户无法访问业务 根据回退方案对相关变更内容进行回退;

实施方案

1、在Docker中检查数据库是否开启SSL:

docker exec -it ae86114514a8 bashmysql -uroot -pshow variables like '%ssl%';+---------------+----------+| Variable_name | Value    |+---------------+----------+| have_openssl  | DISABLED || have_ssl      | DISABLED || ssl_ca |   || ssl_capath    |   || ssl_cert      |   || ssl_cipher    |   || ssl_crl|   || ssl_crlpath   |   || ssl_key|   |+---------------+----------+

have_openssl和have_ssl参数值为:DISABLE,表示当前未开启SSL;

2、在Docker中备份数据库参数文件

cp /etc/mysql/mysql.conf.d/mysqld.cnf /etc/mysql/mysql.conf.d/mysqld.cnf.bak#从docker中拷贝到宿主机,以防万一docker cp mysql:/etc/mysql/mysql.conf.d /tmp

3、在宿主机创建SSL证书
由于生产环境使用的MySQL版本是5.6,没有5.7以上版本自带的mysql_ssl_rsa_setup工具自动生成SSL证书,故通过宿主机的OpenSSL创建证书;

  • 生成一个 CA 私钥(参考官方文档:https://dev.mysql.com/doc/refman/5.6/en/creating-ssl-files-using-openssl.html)
mkdir newcerts && cd newcertsopenssl genrsa 2048 > ca-key.pem
  • 通过 CA 证书私钥生成数字证书

根据官方文档提示,Common Name 不能和后面签发的服务器、客户端证书相同,否则后面使用 SSL 登录的时候会出现错误 ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1)

openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca.pem
  • 创建 MySQL 服务器私钥和请求证书
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem
  • 将生成的私钥转换为 RSA 私钥文件格式
openssl rsa -in server-key.pem -out server-key.pem
  • 使用前面生成的 CA 证书来生成一个服务器端的数字证书
openssl x509 -req -in server-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
  • 创建客户端的 RSA 私钥和数字证书
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem
  • 将生成的私钥转换为 RSA 私钥文件格式
openssl rsa -in client-key.pem -out client-key.pem
  • 使用前面生成的 CA 证书来生成一个客户端的数字证书
openssl x509 -req -in client-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
  • 验证证书信息
openssl verify -CAfile ca.pem server-cert.pem client-cert.pemserver-cert.pem: OKclient-cert.pem: OK

4、在宿主机修改数据库参数文件

vi mysqld.cnf##增加SSL证书参数[mysqld]ssl_ca=ca.pemssl_cert=server-cert.pemssl_key=server-key.pem

将修改好的数据库参数文件从宿主机拷贝到docker中覆盖

docker cp /tmp/mysqld.cnf mysql:/etc/mysql/mysql.conf.d/

5、重启数据库

#在Docker中关闭数据库docker exec -it ae86114514a8 bashservice mysql stop#在宿主机启动Dockerdocker start ae86114514a8#检查Docker运行状态docker ps -a

6、在Docker中检查数据库SSL状态

docker exec -it ae86114514a8 bashmysql -uroot -pshow variables like '%ssl%';+---------------+-----------------+| Variable_name | Value    |+---------------+-----------------+| have_openssl  | YES      || have_ssl      | YES      || ssl_ca | ca.pem   || ssl_capath    |   || ssl_cert      | server-cert.pem || ssl_cipher    |   || ssl_crl|   || ssl_crlpath   |   || ssl_key| server-key.pem  |+---------------+-----------------+

have_openssl和have_ssl参数值为:YES,表示当前已开启SSL;

7、配置数据库账号SSL认证

  • 开启数据库账号SSL认证
#检查MySQL账号当前认证方式select user,host,ssl_type from mysql.user;+----------+-----------+----------+| user     | host      | ssl_type |+----------+-----------+----------+| xsyunwei | %  |   |+----------+-----------+----------+#开启数据库账号SSL认证(5.6版本语法)GRANT USAGE ON *.* TO 'xsyunwei'@'%' REQUIRE SSL;#开启数据库账号SSL认证(5.7以上版本语法)ALTER USER 'xsyunwei'@'%' REQUIRE SSL;FLUSH PRIVILEGES;
  • 配置数据库账号认证方式
#配置认证方式为双向认证(必须使用SSL登录,并且验证证书)update MySQL.user set ssl_type='X509' where user='xsyunwei';FLUSH PRIVILEGES;
  • 测试数据库账号证书登录
mysql -uxsyunwei -p --ssl-ca=/var/lib/mysql/ca.pem --ssl-cert=/var/lib/mysql/client-cert.pem --ssl-key=/var/lib/mysql/client-key.pem#检查SSL信息SHOW STATUS LIKE 'Ssl_version';+---------------+---------+| Variable_name | Value   |+---------------+---------+| Ssl_version   | TLSv1.2 |+---------------+---------+SHOW STATUS LIKE 'Ssl_cipher';+---------------+-----------------------------+| Variable_name | Value  |+---------------+-----------------------------+| Ssl_cipher    | ECDHE-RSA-AES256-GCM-SHA384 |+---------------+-----------------------------+

8、配置应用SSL连接串

应用由.NET开发,参考GitHub上的连接串配置说明文档:https://mysqlconnector.net/connection-options/,在连接串中加入以下参数,实现SSL连接:

SslMode=VerifyCA;Ssl-Ca=路径\ca.pem;Ssl-Cert=路径\client-cert.pem;Ssl-Key=路径\client-key.pem

(实际操作中,由于应用较老,连接器MySql.Data版本为5.2.3.0,不支持SslMode参数,经升级MySql.Data版本到6.7.4.0后配置成功。)

9、测试业务连接

通知用户登录应用。

变更检验

在宿主机上捕获的数据库传输包为加密包。

回退方案

1、取消数据库账号验证模式

update MySQL.user set ssl_type='' where user='xsyunwei';flush privileges;

2、取消数据库账号SSL认证

#5.6GRANT USAGE ON *.* TO 'xsyunwei'@'%' REQUIRE NONE;#5.7ALTER USER 'xsyunwei'@'%' REQUIRE NONE;FLUSH PRIVILEGES;

3、恢复数据库参数文件

mv /etc/mysql/mysql.conf.d/mysqld.cnf /etc/mysql/mysql.conf.d/mysqld.cnf.bak2mv /etc/mysql/mysql.conf.d/mysqld.cnf.bak /etc/mysql/mysql.conf.d/mysqld.cnf

4、重启数据库

#在Docker中关闭数据库docker exec -it ae86114514a8 bashservice mysql stop#在宿主机启动Dockerdocker start ae86114514a8#检查Docker运行状态docker ps -a

5、恢复应用连接串

删除连接串中SSL相关参数:

SslMode=VerifyCA;Ssl-Ca=路径\ca.pem;Ssl-Cert=路径\client-cert.pem;Ssl-Key=路径\client-key.pem