mysql cert_Mysql使用SSL连接
最近項(xiàng)目中用到了SSL連接,記錄一下,環(huán)境為windows10,Mysql版本為5.6
查看是否支持 SSL
首先在 MySQL 上執(zhí)行如下命令, 查詢是否 MySQL 支持 SSL:
mysql> SHOW VARIABLES LIKE 'have_ssl';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl | YES |
+---------------+-------+
1 row in set (0.02 sec)
當(dāng) have_ssl 為 YES 時(shí), 表示此時(shí) MySQL 服務(wù)已經(jīng)支持 SSL 了. 如果是 DESABLE, 則需要在啟動 MySQL 服務(wù)時(shí), 使能 SSL 功能.
使用 OpenSSL 創(chuàng)建 SSL 證書和私鑰
根據(jù)自己的操作系統(tǒng)下載Win(xx)OpenSSL安裝
新建一個(gè)目錄用于存放生成的證書和私鑰
//生成一個(gè) CA 私鑰
openssl genrsa 2048 > cert/ca-key.pem
//使用私鑰生成一個(gè)新的數(shù)字證書,執(zhí)行這個(gè)命令時(shí), 會需要填寫一些問題, 隨便填寫就可以了
openssl req -sha1 -new -x509 -nodes -days 3650 -key ./cert/ca-key.pem > cert/ca-cert.pem
//創(chuàng)建服務(wù)器端RSA 私鑰和數(shù)字證書,這個(gè)命令會生成一個(gè)新的私鑰(server-key.pem), 同時(shí)會使用這個(gè)新私鑰來生成一個(gè)證書請求文件(server-req.pem).
//這個(gè)命令同樣需要回答幾個(gè)問題, 隨便填寫即可. 不過需要注意的是, A challenge password 這一項(xiàng)需要為空
openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout cert/server-key.pem > cert/server-req.pem
//將生成的私鑰轉(zhuǎn)換為 RSA 私鑰文件格式
openssl rsa -in cert/server-key.pem -out cert/server-key.pem
//使用原先生成的 CA 證書來生成一個(gè)服務(wù)器端的數(shù)字證書
openssl x509 -sha1 -req -in cert/server-req.pem -days 3650 -CA cert/ca-cert.pem -CAkey cert/ca-key.pem -set_serial 01 > cert/server-cert.pem
//創(chuàng)建客戶端的 RSA 私鑰和數(shù)字證書
openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout cert/client-key.pem > cert/client-req.pem
//將生成的私鑰轉(zhuǎn)換為 RSA 私鑰文件格式
openssl rsa -in cert/client-key.pem -out cert/client-key.pem
//為客戶端創(chuàng)建一個(gè)數(shù)字證書
openssl x509 -sha1 -req -in cert/client-req.pem -days 3650 -CA cert/ca-cert.pem -CAkey cert/ca-key.pem -set_serial 01 > cert/client-cert.pem
SSL 配置
在前面的步驟中, 我們已經(jīng)生成了8個(gè)文件, 分別是:
ca-cert.pem: CA 證書, 用于生成服務(wù)器端/客戶端的數(shù)字證書.
ca-key.pem: CA 私鑰, 用于生成服務(wù)器端/客戶端的數(shù)字證書.
server-key.pem: 服務(wù)器端的 RSA 私鑰
server-req.pem: 服務(wù)器端的證書請求文件, 用于生成服務(wù)器端的數(shù)字證書.
server-cert.pem: 服務(wù)器端的數(shù)字證書.
client-key.pem: 客戶端的 RSA 私鑰
client-req.pem: 客戶端的證書請求文件, 用于生成客戶端的數(shù)字證書.
client-cert.pem: 客戶端的數(shù)字證書.
接下來我們就需要分別配置服務(wù)器端和客戶端
服務(wù)器端配置
服務(wù)器端需要用到三個(gè)文件, 分別是: CA 證書, 服務(wù)器端的 RSA 私鑰, 服務(wù)器端的數(shù)字證書, 我們需要在 [mysqld] 配置域下添加如下內(nèi)容:
[mysqld]
ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem
接著我們還可以更改 bind-address, 使 MySQL 服務(wù)可以接收來自所有 ip 地址的客戶端, 即:
bind-address = *
當(dāng)配置好后, 我們需要重啟 MySQL 服務(wù)
最后一步, 我們添加一個(gè)需要使用 SSL 才可以登錄的帳號, 來驗(yàn)證一下我們所配置的 SSL 是否生效:
GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;
FLUSH PRIVILEGES;
當(dāng)配置好后, 使用 root 登錄 MySQL
mysql --ssl-ca="D:/Program Files/OpenSSL-Win64/bin/cert/ca-cert.pem" --ssl-cert="D:/Program Files/OpenSSL-Win64/bin/cert/client-cert.pem" --ssl-key="D:/Program Files/OpenSSL-Win64/bin/cert/client-key.pem" -u coisini -p
當(dāng)連接成功后, 我們執(zhí)行如下指令
\s
執(zhí)行 show variables like '%ssl%' 語句會有如下輸出:
mysql> show variables like '%ssl%';
+---------------+-----------------+
| Variable_name | Value |
+---------------+-----------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | ca.pem |
| ssl_capath | |
| ssl_cert | server-cert.pem |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | server-key.pem |
+---------------+-----------------+
9 rows in set (0.01 sec)
JAVA配置
使用該命令生成java使用SSL連接所需的文件:
keytool -importcert -alias MySQLCACert -file "D:\Program Files\OpenSSL-Win64\bin\cert\ca-cert.pem" -keystore truststore -storepass 密碼
將生成的文件配置系統(tǒng)環(huán)境變量
名:JAVA_OPTS
值:-Djavax.net.ssl.trustStore="上一步中生成文件的本地路徑" -Djavax.net.ssl.trustStorePassword="密碼"
JDBC配置連接
##jdbc.properties:
yxaq.dz=jdbc:mysql://127.0.0.1:3306/yxaqgl?verifyServerCertificate=true&useSSL=true&requireSSL=true
總結(jié)
以上是生活随笔為你收集整理的mysql cert_Mysql使用SSL连接的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 原神扩散吃攻击吗?
- 下一篇: mysql int 做排序_Mysql数