《Mysql入門多種不同的 MySQL 的 SSL 配置》要點：
本文介紹了Mysql入門多種不同的 MySQL 的 SSL 配置，希望對您有用。如果有疑問，可以聯(lián)系我們。

在這篇博客的帖子里,我將會描述不同的使用MySQL數(shù)據(jù)庫的SSL配置辦法.MYSQL數(shù)據(jù)庫

SSL給了你什么?MYSQL數(shù)據(jù)庫

你可以通過互聯(lián)網(wǎng)使用 MySQL 復(fù)制特性(replication) 或者通過互聯(lián)網(wǎng)連接到MySQL.
還有可能是你通過企業(yè)網(wǎng)去連接,這樣會有很多人訪問.如果你使用一個自帶設(shè)備(BYOD)網(wǎng)絡(luò),這就更是一個問題了.
SSL在這里通過加密網(wǎng)絡(luò)防止有針對性的監(jiān)聽.在與正確的服務(wù)器進行交互時,可以有效應(yīng)對中間人攻擊(man-in-the-middle attacks).
你還可以使用SSL客戶端證書,讓它同暗碼一起作為身份識別的二要素.
SSL不是唯一的選擇, 你可以使用SSH和許多MySQL GUI客戶端,類似MySQL Workbench提供的那個產(chǎn)品. 但是SSH的python腳本,或者mysqldump,不是那么易用.MYSQL數(shù)據(jù)庫

必要注意的事情：MYSQL數(shù)據(jù)庫

使用SSL在絕大多數(shù)情況下要比不使用SSL要好,所以沒有太多可能出現(xiàn)問題的地方.
但是以下幾點需要注意：
對平安性的錯誤估計MYSQL數(shù)據(jù)庫

你認為你在SSL的掩護之下,但是你可能忘記設(shè)置一些選項從而導(dǎo)致程序可以接受非SSL的連接,所以要確保設(shè)置必須使用SSL作為連接方式.可以使用Wireshark或者其它類似的工具來檢測你的流量是否都真的被加密處理.
沒有及時更新證書MYSQL數(shù)據(jù)庫

你應(yīng)該通過一些辦法在證書即將過期的時候通知自己.可以是nagios檢查,可以是日歷里面的小貼士,可以來自于證書簽發(fā)機構(gòu)的email.如果證書過期,將會導(dǎo)致你的客戶端無法正常獲得響應(yīng).MYSQL數(shù)據(jù)庫

性能MYSQL數(shù)據(jù)庫

如果性能很重要,就應(yīng)該做基準(zhǔn)測試,來看看沒有SSL的情況下有什么影響.在 OpenSSL 和 YaSSL 下嘗試不同的暗碼,并看哪個的執(zhí)行效果最佳.
使用流量監(jiān)測的工具MYSQL數(shù)據(jù)庫

如果你在使用像 VividCortex,pt-query-digest 基于 pcap 的工具,那么你應(yīng)該確保在部署完SSL后,這些工具還能用,可以提供密鑰來實現(xiàn).然后使用一個非 Diffie-Hellman (DH) 的暗碼,或者使用其他的源,如 performance_schema、slow query log,這還要看你的應(yīng)用程序支持哪種,也可能會包含一些負載均衡的設(shè)置.MYSQL數(shù)據(jù)庫

MySQL 中的 SSL 和瀏覽器中的 SSL 有什么分歧MYSQL數(shù)據(jù)庫

瀏覽器默認有一個 CA 的信任列表,但 MySQL 默認是沒有的.這就是他們最大的不同.MySQL 和OpenVPN 使用SSL非常相似.
MySQL server 和 Web server 都開啟了 SSL,同時也都需要有客戶端證書,這是他們相同的地方.
有一些細微的協(xié)議支持差別,好比：MySQL 只支持 TLS v1.0,默認不支持主機名驗證,所以你的證書可能是給db1.example.com的,也可能是給db2.example的,瀏覽器則可能會用OCSP、CRL's 或 CRLsets 來驗證證書是否有效. MySQL 5.6以后就只支持CRL驗證.MYSQL數(shù)據(jù)庫

配置 1: Server/Client 的內(nèi)部 CAMYSQL數(shù)據(jù)庫

最基本的安裝和我創(chuàng)建 mysslgen 的位置.
首先在服務(wù)器上創(chuàng)建一個PKCS#1格式的密鑰,若PKCS#8不行.然后創(chuàng)建一個可以用CA部署的CSR(Certificate Signing Request證書簽名哀求) .最后結(jié)果是一個CA證書服務(wù)器和一個服務(wù)器的密鑰.筆者習(xí)慣用PEM格式的證書
服務(wù)器配置：
SSL證書服務(wù)器和密鑰 (ssl-certandssl-key)
SSL CA 證書 (ssl-ca)
客戶端配置:
SSL CA 證書(ssl-ca)
要求賬戶用SSL驗證,那你的GRANT語句應(yīng)該用REQUIRE SSL選項.MYSQL數(shù)據(jù)庫

配置 2: Server/Client 的內(nèi)部 CA 和 客戶端證書MYSQL數(shù)據(jù)庫

首先得在服務(wù)器上開啟SSL,然后給客戶端創(chuàng)建證書.
然后在客戶端指定客戶端證書和密鑰 ssl-cert和ssl-key.
現(xiàn)在必須要用 REQUIRE X509來要求一個有效的證書.如果這個CA不只用在MySQL server上,那就不起作用了,因為其他人也有可能拿到有效的證書,
可以用 REQUIRE SUBJECT '/CN=myclient.example.com'來限制證書的使用.
在此設(shè)置證書是你的CA給發(fā)表的,你發(fā)表的證書你就能有很多可控的,結(jié)果就是你發(fā)表的證書都是被信任的.MYSQL數(shù)據(jù)庫

配置 3: Server/Client 與公共 CAMYSQL數(shù)據(jù)庫

方案 3與方案 2相似.但公共的CA會指定多個的證書,同樣也會吊銷這些證書.
你應(yīng)該了解 --ssl-verify-server-cert ,以確保服務(wù)器有一個帶主機名的證書.不然,有人可能會用一個不帶主機名的有效證書來發(fā)起中間人攻擊(Man-in-the-MiddleAttack,簡稱“MITM攻擊”).
也應(yīng)該使用 REQUIRE X509 字段,要求每個用戶 SUBJECT 、ISSUER(可選)字段.MYSQL數(shù)據(jù)庫

配置 4: Server/Client 和多個公共 CA'sMYSQL數(shù)據(jù)庫

這個方案用起來顯得輕而易舉.
可以使用證書包 (一個文件多個證書),并用 ssl ca 命令指定此文件.
在Ubuntu系統(tǒng)上,這個證書由 /etc/ssl/certs/ca-certificates.crt 下的 ca-certificates 包提供
其他選項,用“指定assl-capath”來代替“使用ssl-ca”,這樣就可以設(shè)置到/etc/ssl/certs里.如果想用CA的默認目錄,那就得運行OpenSSL 中的c_rehash 法式來生成正確的符號連接(只在OpenSSL下可用).MYSQL數(shù)據(jù)庫

配置 5: Replication(復(fù)制)MYSQL數(shù)據(jù)庫

設(shè)置 CHANGE MASTER TO 命令中MASTER_SSL_* 就可實現(xiàn).
如果開啟了主機名驗證,就確保用了 MASTER_SSL_VERIFY_SERVER_CERT.
只有這樣才能真正確保 replication 用戶的SSL連接是要求的SSL連接.如果SSL允許了,SHOW SLAVE STATUS就會顯示輸出,而不是弗成用.
每臺服務(wù)器一個CA還是集中式CA?MYSQL數(shù)據(jù)庫

可以每服務(wù)器用一個CA然后指定一個客戶端證書,但是每個服務(wù)器的客戶端都必要不同的證書來連接,也就是說你會發(fā)放很多CA證書.
所以你可能就會想要使用一個CA,而不是每個服務(wù)器一個CA.MYSQL數(shù)據(jù)庫

失足了怎么辦?MYSQL數(shù)據(jù)庫

如果其中一個私有密鑰(客戶端,服務(wù)器或CA)損壞,有以下幾種辦法處理：
什么也不做,只要等到證書過期.這只適用于短暫的證書(如證書有效期是7天).這樣做容易讓你受到攻擊,你也可能會有其他緩解風(fēng)險的方法.問題是,每7天就得重啟MySQL,而且還需要一些自動分配證書的機制.
重新創(chuàng)建所有證書和密鑰(包括 CA).這只適用于CA、服務(wù)器和用戶數(shù)量較少的情況.
用CRL(Certificate Revocation list證書吊銷列表). 這樣做只在你的證書有正確序列號的情況下管用.此外,你要是有多個CA的話,就必須每個CA都捆綁CRL,并在c_rehash創(chuàng)建的符號連接的目錄中指定 ssl-crl,指定ssl-crl路徑(僅OpenSSL).如果使用CRL,那MySQL 的版本要是5.6或更高,然后更新CRL,也更新所有客戶端.
注意: 如果密鑰泄露了,就必須重新創(chuàng)建私有密鑰,僅用以前的CSR(證書簽名哀求)是不夠的.MYSQL數(shù)據(jù)庫

客戶端配置注意事項MYSQL數(shù)據(jù)庫

ssl-ca 參數(shù)可在my.cnf的[client]部分設(shè)置,但這樣設(shè)置mysql binlog就不管用了,所以在客戶端用loose-ssl-ca 代替.ssl-key 和 ssl-cert 參數(shù)應(yīng)該是在~/.my.cnf文件的[client]部分,這些文件都應(yīng)該適當(dāng)?shù)谋Ｗo起來.
目前以my_config_editor創(chuàng)建的'login-path'無法添加到SSL設(shè)置.
暗碼注意事項MYSQL數(shù)據(jù)庫

用 SSL 加密,可以設(shè)置一定的暗碼,用 YaSSL 就很有限.當(dāng)使用 OpenSSL 時,就可以使用一個暗碼套件,這套件是一組特定的暗碼集、一些過濾器和一個規(guī)則.MYSQL數(shù)據(jù)庫

YaSSL, OpenSSL 的狀態(tài)變量注意事項MYSQL數(shù)據(jù)庫

如果很難判斷你的MySQL用的是 OpenSSL 還是 YaSSL, 有些辦法可以幫你,如使用命令 ldd /path/to/mysqld.默認情況下 MySQL Community Edition 用的是 YaSSL , MySQL Enterprise Edition 用的是 OpenSSL.
根據(jù)SSL執(zhí)行情況,某些狀態(tài)變量可能更新的不正確.
為確保不受任何SSL漏洞影響,你最好參照 Oracle 關(guān)鍵補丁更新 ,保持你的 MySQL 和 OpenSSL及時更新.MYSQL數(shù)據(jù)庫

運行 CA的注意事項MYSQL數(shù)據(jù)庫

其實并沒有看起來那么容易,往往開始很簡單,往后很無奈.要十分肯定的知道怎么發(fā)布CRL,X509 擴展是什么,你都必須用什么.
有個網(wǎng)站告訴你如何配置你自己的CA：如何做一個自有的證書發(fā)表機構(gòu)(CA) - jamielinux
也有許多公共CA會給你私有的 CA 提供主機.MYSQL數(shù)據(jù)庫

以上所述便是本文的全部內(nèi)容了,希望大家能夠喜歡.MYSQL數(shù)據(jù)庫

請您花一點時間將文章分享給您的朋友或者留下評論.我們將會由衷感激您的支持!MYSQL數(shù)據(jù)庫

歡迎參與《Mysql入門多種不同的 MySQL 的 SSL 配置》討論，分享您的想法，維易PHP學(xué)院為您提供專業(yè)教程。

轉(zhuǎn)載請注明本頁網(wǎng)址：
http://www.fzlkiss.com/jiaocheng/11238.html