MySQL 5.6--------SSL连接最佳实战

本文涉及的产品
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介:

1. 背景

   * 在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中

   * 当使用非加密方式连接MySQL数据库时,在网络中传输的所有信息都是明文的,可以被网络中所有人截取,敏感信息可能被泄露。在传送敏感信息(如密码)时,可以采用SSL连接的方式。


2. MySQL 连接方式

   * socket连接

   * TCP非SSL连接

   * SSL安全连接


3. SSL 简介

  * SSL指的是SSL/TLS,其是一种为了在计算机网络进行安全通信的加密协议。假设用户的传输不是通过SSL的方式,那么其在网络中以明文的方式进行传输,而这给别有用心的人带来了可乘之机。所以,现在很多网站其实默认已经开启了SSL功能,比如Facebook、Twtter、YouTube、淘宝等。

wKiom1lRImDQaiP7AAByLO28Dk8429.jpg


4. 环境 [ 关闭SeLinux ]

   * system 环境

1
2
3
4
5
6
7
8
[root@MySQL ~] # cat /etc/redhat-release 
CentOS release 6.9 (Final)
 
[root@MySQL ~] # uname -r
2.6.32-696.3.2.el6.x86_64
 
[root@MySQL ~] # getenforce 
Disabled


   * MySQL 环境 [ MySQL 5.6安装前面篇章已做详细介绍 ]

        have_openssl 与 have_ssl 值都为DISABLED表示ssl未开启

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
[root@MySQL mysql] # mysql
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection  id  is 3
Server version: 5.6.36 MySQL Community Server (GPL)
 
Copyright (c) 2000, 2017, Oracle and /or  its affiliates. All rights reserved.
 
Oracle is a registered trademark of Oracle Corporation and /or  its
affiliates. Other names may be trademarks of their respective
owners.
 
Type  'help;'  or  '\h'  for  help. Type  '\c'  to  clear  the current input statement.
 
mysql>  select  version();
+-----------+
| version() |
+-----------+
| 5.6.36    |
+-----------+
1 row  in  set  (0.00 sec)
 
mysql> show variables like  'have%ssl%' ;
+---------------+----------+
| Variable_name | Value    |
+---------------+----------+
| have_openssl  | DISABLED |
| have_ssl      | DISABLED |
+---------------+----------+
2 rows  in  set  (0.00 sec)
 
mysql> show variables like  'port' ;
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| port          | 3306  |
+---------------+-------+
1 row  in  set  (0.00 sec)
 
mysql> show variables like  'datadir' ;
+---------------+-------------------+
| Variable_name | Value             |
+---------------+-------------------+
| datadir       |  /data/mysql_data/  |
+---------------+-------------------+
1 row  in  set  (0.00 sec)


5. 通过openssl 制作生成 SSL 证书

   * 生成一个 CA 私钥

1
2
3
4
5
[root@MySQL ~] # openssl genrsa 2048 > ca-key.pem
Generating RSA private key, 2048 bit long modulus
.............................+++
....................+++
e is 65537 (0x10001)


   * 通过 CA 私钥生成数字证书

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
[root@MySQL ~] # openssl req -new -x509 -nodes -days 3600 \
>          -key ca-key.pem -out ca.pem
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter  '.' , the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's  hostname ) []:
Email Address []:


   * 创建 MySQL 服务器 私钥和请求证书

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
[root@MySQL ~] # openssl req -newkey rsa:2048 -days 3600 \
>          -nodes -keyout server-key.pem -out server-req.pem
Generating a 2048 bit RSA private key
.................................+++
.......................................................+++
writing new private key to  'server-key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter  '.' , the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's  hostname ) []:
Email Address []:
 
Please enter the following  'extra'  attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


   * 将生成的私钥转换为 RSA 私钥文件格式

1
2
[root@MySQL ~] # openssl rsa -in server-key.pem -out server-key.pem
writing RSA key


   * 用CA 证书来生成一个服务器端的数字证书

1
2
3
4
5
[root@MySQL ~] # openssl x509 -req -in server-req.pem -days 3600 \
>          -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
Signature ok
subject= /C =XX /L =Default City /O =Default Company Ltd
Getting CA Private Key


   * 创建客户端的 RSA 私钥和数字证书

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
[root@MySQL ~] # openssl req -newkey rsa:2048 -days 3600 \
>          -nodes -keyout client-key.pem -out client-req.pem
Generating a 2048 bit RSA private key
..........................................................+++
.................+++
writing new private key to  'client-key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter  '.' , the field will be left blank.
-----
Country Name (2 letter code) [XX]:
State or Province Name (full name) []:
Locality Name (eg, city) [Default City]:
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's  hostname ) []:
Email Address []:
 
Please enter the following  'extra'  attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:


   * 将生成的私钥转换为 RSA 私钥文件格式

1
2
[root@MySQL ~] # openssl rsa -in client-key.pem -out client-key.pem
writing RSA key


   * 用CA 证书来生成一个客户端的数字证书

1
2
3
4
5
[root@MySQL ~] # openssl x509 -req -in client-req.pem -days 3600 \
>          -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
Signature ok
subject= /C =XX /L =Default City /O =Default Company Ltd
Getting CA Private Key


   * 查看所有生成的SSL文件

1
2
3
4
5
6
7
8
9
[root@MySQL ~] # ls -l *.pem
-rw-r--r-- 1 root root 1675 Jun 24 14:16 ca-key.pem
-rw-r--r-- 1 root root 1220 Jun 24 14:19 ca.pem
-rw-r--r-- 1 root root 1090 Jun 24 14:29 client-cert.pem
-rw-r--r-- 1 root root 1679 Jun 24 14:28 client-key.pem
-rw-r--r-- 1 root root  952 Jun 24 14:28 client-req.pem
-rw-r--r-- 1 root root 1090 Jun 24 14:24 server-cert.pem
-rw-r--r-- 1 root root 1679 Jun 24 14:23 server-key.pem
-rw-r--r-- 1 root root  952 Jun 24 14:20 server-req.pem


6. MySQL 配置启动 SSL

   * 复制 CA 证书和服务端SSL文件至MySQL 数据目录

1
2
3
4
5
[root@MySQL ~] # cp ca.pem server-*.pem /data/mysql_data -v
`ca.pem ' -> `/data/mysql_data/ca.pem'
`server-cert.pem ' -> `/data/mysql_data/server-cert.pem'
`server-key.pem ' -> `/data/mysql_data/server-key.pem'
`server-req.pem ' -> `/data/mysql_data/server-req.pem'


   * 修改 MySQL 数据目录的CA 证书和服务端 SSL 文件所属用户与组

1
2
3
4
5
[root@MySQL ~] # chown -v mysql.mysql /data/mysql_data/{ca,server*}.pem
changed ownership of ` /data/mysql_data/ca .pem' to mysql:mysql
changed ownership of ` /data/mysql_data/server-cert .pem' to mysql:mysql
changed ownership of ` /data/mysql_data/server-key .pem' to mysql:mysql
changed ownership of ` /data/mysql_data/server-req .pem' to mysql:mysql


   * 配置 MySQL 服务的配置文件 [/etc/my.cnf]

1
2
3
4
[mysqld]
ssl-ca= /data/mysql_data/ca .pem
ssl-cert= /data/mysql_data/server-cert .pem
ssl-key= /data/mysql_data/server-key .pem


   * 重启MySQL服务

1
2
3
[root@MySQL ~] # /etc/init.d/mysqld restart
Shutting down MySQL.. SUCCESS! 
Starting MySQL. SUCCESS!


   * 登陆查看SSL开启状态

       have_openssl 与 have_ssl 值都为YES表示ssl开启成功

1
2
3
4
5
6
7
8
mysql> show variables like  'have%ssl%' ;
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_openssl  | YES   |
| have_ssl      | YES   |
+---------------+-------+
2 rows  in  set  (0.01 sec)


6. SSL连接测试

   * 创建用户并指定 SSL 连接

1
2
mysql> grant all on *.* to  'ssl_test' @ '%'  identified by  '123'  require SSL;
Query OK, 0 rows affected (0.00 sec)


   * 通过密码连接测试

1
2
3
[root@MySQL ~] # mysql -h 192.168.60.129 -ussl_test -p'123'
Warning: Using a password on the  command  line interface can be insecure.
ERROR 1045 (28000): Access denied  for  user  'ssl_test' @ '192.168.60.129'  (using password: YES)


   * 通过客户端密钥与证书SSL + 密码连接测试

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
[root@MySQL ~] # mysql -h 192.168.60.129 -ussl_test  --ssl-cert=client-cert.pem --ssl-key=client-key.pem 
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection  id  is 9
Server version: 5.6.36 MySQL Community Server (GPL)
 
Copyright (c) 2000, 2017, Oracle and /or  its affiliates. All rights reserved.
 
Oracle is a registered trademark of Oracle Corporation and /or  its
affiliates. Other names may be trademarks of their respective
owners.
 
Type  'help;'  or  '\h'  for  help. Type  '\c'  to  clear  the current input statement.
 
mysql> \s
--------------
mysql  Ver 14.14 Distrib 5.6.36,  for  linux-glibc2.5 (x86_64) using  EditLine wrapper
 
Connection  id :     20
Current database: 
Current user:      ssl_test@192.168.60.129
SSL:            Cipher  in  use is DHE-RSA-AES256-SHA
Current pager:     stdout
Using outfile:      ''
Using delimiter:   ;
Server version:        5.6.36 MySQL Community Server (GPL)
Protocol version:  10
Connection:     192.168.60.129 via TCP /IP
Server characterset:   latin1
Db     characterset:   latin1
Client characterset:   utf8
Conn.  characterset:  utf8
TCP port:      3306
Uptime:         16 min 38 sec
 
Threads: 1  Questions: 35  Slow queries: 0  Opens: 67  Flush tables: 1  Open tables: 60  Queries per second avg: 0.035



7. 总结


以需求驱动技术,技术本身没有优略之分,只有业务之分。




      本文转自asd1123509133 51CTO博客,原文链接:http://blog.51cto.com/lisea/1942216,如需转载请自行联系原作者




相关实践学习
基于CentOS快速搭建LAMP环境
本教程介绍如何搭建LAMP环境,其中LAMP分别代表Linux、Apache、MySQL和PHP。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
8天前
|
存储 关系型数据库 MySQL
MySQL触发器实战:自动执行的秘密
MySQL触发器实战:自动执行的秘密
25 3
|
20天前
|
Java 关系型数据库 数据库连接
实时计算 Flink版操作报错之在使用JDBC连接MySQL数据库时遇到报错,识别不到jdbc了,怎么解决
在使用实时计算Flink版过程中,可能会遇到各种错误,了解这些错误的原因及解决方法对于高效排错至关重要。针对具体问题,查看Flink的日志是关键,它们通常会提供更详细的错误信息和堆栈跟踪,有助于定位问题。此外,Flink社区文档和官方论坛也是寻求帮助的好去处。以下是一些常见的操作报错及其可能的原因与解决策略。
|
1天前
|
NoSQL 关系型数据库 Serverless
Serverless 应用引擎产品使用合集之连接RDS、Redis等数据库时,是否需要通过安全组来控制访问权限
阿里云Serverless 应用引擎(SAE)提供了完整的微服务应用生命周期管理能力,包括应用部署、服务治理、开发运维、资源管理等功能,并通过扩展功能支持多环境管理、API Gateway、事件驱动等高级应用场景,帮助企业快速构建、部署、运维和扩展微服务架构,实现Serverless化的应用部署与运维模式。以下是对SAE产品使用合集的概述,包括应用管理、服务治理、开发运维、资源管理等方面。
|
1天前
|
DataWorks 关系型数据库 MySQL
DataWorks操作报错合集之在尝试连接到MySQL数据库时遇到了“Communications link failure”错误,如何解决
DataWorks是阿里云提供的一站式大数据开发与治理平台,支持数据集成、数据开发、数据服务、数据质量管理、数据安全管理等全流程数据处理。在使用DataWorks过程中,可能会遇到各种操作报错。以下是一些常见的报错情况及其可能的原因和解决方法。
|
6天前
|
SQL 关系型数据库 MySQL
MySQL数据库——多表查询(3)-自连接、联合查询、子查询
MySQL数据库——多表查询(3)-自连接、联合查询、子查询
10 1
|
6天前
|
关系型数据库 MySQL 数据库
MySQL数据库——多表查询(2)-内连接、外连接
MySQL数据库——多表查询(2)-内连接、外连接
10 1
|
6天前
|
SQL 关系型数据库 MySQL
MySQL数据库——概述-MySQL的安装、启动与停止和客户端连接、关系型数据库(RDBMS)、数据模型
MySQL数据库——概述-MySQL的安装、启动与停止和客户端连接、关系型数据库(RDBMS)、数据模型
22 0
|
7天前
|
SQL 存储 关系型数据库
MySQL数据库案例实战教程:数据类型、语法与高级查询详解
MySQL数据库案例实战教程:数据类型、语法与高级查询详解
27 3
|
8天前
|
SQL 关系型数据库 MySQL
sql连接mysql数据库
要使用SQL来连接MySQL数据库,你实际上需要使用一种编程语言(如Python、Java、PHP等)配合相应的数据库驱动或库。下面,我将为你提供几个常见编程语言的示例,说明如何连接到MySQL数据库
|
12天前
|
Java 关系型数据库 MySQL
Java语言与MySQL数据库连接的技术性探讨
Java语言与MySQL数据库连接的技术性探讨