Mysql8 启用SSL安全连接_mysql开启ssl

概述

Mysql 8 默认启用SSL安全连接，也可以强制必须启用。建议手动生成自签名证书和key并配置到服务端和客户端路径里，也可以直接使用mysql默认生成的。

前提条件

https://dev.mysql.com/doc/refman/8.4/en/using-encrypted-connections.html#using-encrypted-connections-server-side-startup-configuration

1. 使用OpenSSL编译的MySQL服务器
2. 官网mysql安装包已经集成了，支持ssl自签名证书
3. 自签名证书文件系统自动生成，默认在数据存储目录下

[root@centos7-172-028-002-001 mysql]# ll /var/lib/mysql | grep pem-rw------- 1 mysql mysql 1680 3月 18 22:03 ca-key.pem-rw-r--r-- 1 mysql mysql 1108 3月 18 22:03 ca.pem-rw-r--r-- 1 mysql mysql 1108 3月 18 22:03 client-cert.pem-rw------- 1 mysql mysql 1676 3月 18 22:03 client-key.pem-rw------- 1 mysql mysql 1680 3月 18 22:03 private_key.pem-rw-r--r-- 1 mysql mysql 452 3月 18 22:03 public_key.pem-rw-r--r-- 1 mysql mysql 1108 3月 18 22:03 server-cert.pem-rw------- 1 mysql mysql 1680 3月 18 22:03 server-key.pem

4. 因为是自签名证书，启动日志中会报一条警告信息

[Warning] [MY-010068] [Server] CA certificate ca.pem is self signed.

Mysql 8手动配置SSL安全连接

https://dev.mysql.com/doc/refman/8.4/en/using-encrypted-connections.html#mandatory-encrypted-connections

修改配置文件

[mysqld]# 强制所有网络连接使用ssl。socket不受限制（默认就是安全状态。如果客户端强制使用SSL连接，允许登录，但会提示建议取消SSL的信息）require_secure_transport=ON

修改运行参数

进入数据库手动设置正在运行的数据库

SET PERSIST require_secure_transport=ON;

Mysql 8服务器端配置SSL安全连接

https://dev.mysql.com/doc/refman/8.4/en/using-encrypted-connections.html#using-encrypted-connections-server-side-startup-configuration

[mysqld]# 可以自行创建ca证书、服务端证书和KEYssl_ca=ca.pemssl_cert=server-cert.pemssl_key=server-key.pem# 如果开启，那么强制客户端必须使用SSL连接；如果关闭，可以指定账号使用SSL连接require_secure_transport=ON

以下示例

1. 简化生成自签名证书

# 创建目录mkdir -p /var/lib/mysql/ssl && cd /var/lib/mysql/ssl# 生成KEYopenssl genrsa -out mysql-key.pem 2048# 生成自签名证书openssl req -x509 -new -key mysql-key.pem -days 3650 -out mysql-cert.pem# 赋权chmod 600 /var/lib/mysql/ssl/* chown -R mysql:mysql /var/lib/mysql/ssl

2. 查看证书有效期

openssl x509 -in mysql-cert.pem -noout -dates

3. 配置my.cnf

# 配置自定义证书和key。使用简化自签名证书，ssl_ca与ssl_cert一样ssl_ca=/var/lib/mysql/ssl/mysql-cert.pemssl_cert=/var/lib/mysql/ssl/mysql-cert.pemssl_key=/var/lib/mysql/ssl/mysql-key.pem# 如果开启，那么强制客户端必须使用SSL连接；如果关闭，可以指定账号使用SSL连接# 如果不配置上述自定义证书，默认使用mysql系统生成的自签名证书，在/var/lib/mysql/下require_secure_transport=ON

Mysql 8客户端配置SSL安全连接

https://dev.mysql.com/doc/refman/8.4/en/using-encrypted-connections.html#using-encrypted-connections-client-side-configuration

--ssl-mode=DISABLED|PREFERRED|REQUIRED|VERIFY_CA|VERIFY_IDENTITY

1. DISABLED

• 完全不使用SSL加密
• 所有通信都以明文传输
• 安全性最低，性能最好
• 适用于测试环境或内部安全网络

2. PREFERRED

• 默认模式
• 尝试使用SSL，失败则回退到非SSL
• 对于Unix套接字连接不会加密
• 平衡了安全性和兼容性

3. REQUIRED

• 强制要求SSL加密
• 如果服务器不支持SSL则连接失败
• 不验证证书的有效性
• 适用于需要加密但不关心证书来源的环境

4. VERIFY_CA

• 要求SSL加密
• 验证服务器证书是否由受信任的CA签发
• 不验证主机名是否匹配
• 比REQUIRED更安全

4. VERIFY_IDENTITY

• 最严格的模式
• 要求SSL加密
• 验证CA证书
• 验证主机名是否与证书匹配
• 防止中间人攻击
• 安全性最高，配置也最复杂

Mysql 8客户端连接验证

1. 服务端开启了require_secure_transport=ON，客户端禁用SSL连接，被拒绝

[root@centos7-05145 ~]# mysql -h 172.28.2.1 -u root -p --ssl-mode=DISABLEDEnter password: ERROR 3159 (HY000): Connections using insecure transport are prohibited while --require_secure_transport=ON.

2. 服务端开启了require_secure_transport=ON，客户端启用SSL连接，查看连接状态

[root@centos7-05145 ~]# mysql -h 172.28.2.1 -u root -p --ssl-mode=REQUIREDEnter password: Welcome to the MySQL monitor. Commands end with ; or \\g.Your MySQL connection id is 10Server version: 8.4.4 MySQL Community Server - GPLCopyright (c) 2000, 2024, Oracle and/or its affiliates.Oracle is a registered trademark of Oracle Corporation and/or itsaffiliates. Other names may be trademarks of their respectiveowners.Type \'help;\' or \'\\h\' for help. Type \'\\c\' to clear the current input statement.mysql> status--------------mysql Ver 8.4.2 for Linux on x86_64 (MySQL Community Server - GPL)Connection id: 8Current database:Current user:  root@192.168.5.145SSL:  Cipher in use is ECDHE-RSA-AES128-GCM-SHA256Current pager: stdoutUsing outfile: \'\'Using delimiter: ;Server version: 8.4.4 MySQL Community Server - GPLProtocol version: 10Connection: 172.28.2.1 via TCP/IPServer characterset: utf8mb4Db characterset: utf8mb4Client characterset: utf8mb4Conn. characterset: utf8mb4TCP port:  3306Binary data as: HexadecimalUptime:  2 min 44 secThreads: 2 Questions: 6 Slow queries: 0 Opens: 512 Flush tables: 3 Open tables: 26 Queries per second avg: 0.036--------------

Mysql 8 创建使用SSL安全连接的账号

# require ssl 强制账号使用证书认证CREATE USER 用户名@\'%\' IDENTIFIED BY \'password\' require ssl;# require x509 强制账号使用证书认证CREATE USER 用户名@\'%\' IDENTIFIED BY \'password\' require x509;# 修改账号使用证书认证ALTER USER \'用户名\'@\'%\' require ssl;