mysql如何配置 mysql如何配置ssl

转载

AI智行者 2023-11-18 14:18:00

文章标签 mysql如何配置 mysql 数据库 tls-version TLSv1.2 文章分类 MySQL 数据库

1、连接MySQL服务器：使用加密选项

2、查看MySQL支持的TLS协议版本

3、变量tls_version使用说明

4、启用SSL协议连接

5、总结

环境：

CentOS-7.9.2009-x86_64

1、连接MySQL服务器：使用加密选项

这些选项控制客户端程序如何建立与MySQL服务器的连接以及连接是否加密。

名称	描述	引入版本
--get-server-public-key	Request RSA public key from server 译：从服务器请求 RSA 公钥	5.7.23
--server-public-key-path	Path name to file containing RSA public key 译：包含 RSA 公钥的文件的路径名
--skip-ssl	Disable connection encryption 译：禁用连接加密
--ssl	Enable connection encryption 译：启用连接加密
--ssl-ca	File that contains list of trusted SSL Certificate Authorities 译：包含受信任 SSL 证书颁发机构列表的文件
--ssl-capath	Directory that contains trusted SSL Certificate Authority certificate files 译：包含受信任的 SSL 证书颁发机构证书文件的目录
--ssl-cert	File that contains X.509 certificate 译：包含 X.509 证书的文件
--ssl-cipher	Permissible ciphers for connection encryption 译：连接加密的允许密码
--ssl-crl	File that contains certificate revocation lists 译：包含证书吊销列表的文件
--ssl-crlpath	Directory that contains certificate revocation-list files 译：包含证书吊销列表文件的目录
--ssl-key	File that contains X.509 key 译：包含 X.509 密钥的文件
--ssl-mode	Desired security state of connection to server 译：连接到服务器的所需安全状态	5.7.11
--ssl-verify-server-cert	Verify host name against server certificate Common Name identity 译：根据服务器证书公用名身份验证主机名
--tls-version	Permissible TLS protocols for encrypted connections 译：加密连接的允许 TLS 协议	5.7.10

从 MySQL 5.7.11 开始不推荐客户端使用 --ssl 选项，并且 --ssl 在 MySQL 8.0 中删除。对于客户端程序请改用 --ssl-mode：

使用 --ssl-mode=REQUIRED 代替 --ssl=1 或 --enable-ssl
使用 --ssl-mode=DISABLED 代替 --ssl=0 或 --skip-ssl 或 --disable-ssl
无显式 --ssl-mode 选项等同于无显式 --ssl 选项

不推荐服务器端使用 --ssl 选项。

2、查看MySQL支持的TLS协议版本

在 MySQL 5.7.28 之前，可以使用 yaSSL 作为 OpenSSL 的替代方案来编译 MySQL。
从 MySQL 5.7.28 开始，删除了对 yaSSL 的支持，所有 MySQL 构建都使用 OpenSSL。

mysql> SHOW GLOBAL VARIABLES LIKE 'tls_version';
+---------------+-----------------------+
| Variable_name | Value                 |
+---------------+-----------------------+
| tls_version   | TLSv1,TLSv1.1,TLSv1.2 |
+---------------+-----------------------+

在《/etc/my.cnf》文件中的 mysqld区域，添加 tls_version参数及赋值。

[mysqld]
# 从 MySQL 5.7.35 开始，不推荐使用 TLSv1 和 TLSv1.1 连接协议
tls_version=TLSv1.1,TLSv1.2

建议使用更安全的 TLSv1.2 和 TLSv1.3 协议进行连接，TLSv1.3 要求 MySQL 服务器和客户端应用程序都使用 OpenSSL 1.1.1 或更高版本进行编译。

注意：从 MySQL 5.7.35 开始，不推荐使用 TLSv1 和 TLSv1.1 连接协议，并且对它们的支持可能会在未来的 MySQL 版本中被删除（请参阅 IETF 备忘录 Deprecating TLSv1.0 and TLSv1.1）。

MySQL 5.7 Reference Manual :: 6.3.2 加密连接 TLS 协议和密码https://dev.mysql.com/doc/refman/5.7/en/encrypted-connection-protocols-ciphers.html

3、变量tls_version使用说明

系统变量tls_version指定服务器允许哪些协议用于加密连接。

值是一个逗号分隔的列表，可以包含一个或多个协议版本。

命令行格式	`--tls-version=protocol_list`
引入版本	5.7.10
系统变量	`tls_version`
范围	Global
动态	No
类型	String
MySQL版本 ≥ 5.7.28 的默认值	`TLSv1,TLSv1.1,TLSv1.2`
MySQL版本 ≤ 5.7.27 的默认值	`TLSv1,TLSv1.1,TLSv1.2`(OpenSSL) `TLSv1,TLSv1.1`(yaSSL)