Mysql使用SSL连接
程序员文章站
2023-01-22 18:48:47
最近项目中用到了SSL连接,记录一下,环境为windows10,Mysql版本为5.6 查看是否支持 SSL 首先在 MySQL 上执行如下命令, 查询是否 MySQL 支持 SSL: 当 have_ssl 为 YES 时, 表示此时 MySQL 服务已经支持 SSL 了. 如果是 DESABLE, ......
最近项目中用到了ssl连接,记录一下,环境为windows10,mysql版本为5.6
查看是否支持 ssl
首先在 mysql 上执行如下命令, 查询是否 mysql 支持 ssl:
mysql> show variables like 'have_ssl'; +---------------+-------+ | variable_name | value | +---------------+-------+ | have_ssl | yes | +---------------+-------+ 1 row in set (0.02 sec)
当 have_ssl 为 yes 时, 表示此时 mysql 服务已经支持 ssl 了. 如果是 desable, 则需要在启动 mysql 服务时, 使能 ssl 功能.
使用 openssl 创建 ssl 证书和私钥
- 根据自己的操作系统下载win(xx)openssl安装
- 新建一个目录用于存放生成的证书和私钥
//生成一个 ca 私钥 openssl genrsa 2048 > cert/ca-key.pem //使用私钥生成一个新的数字证书,执行这个命令时, 会需要填写一些问题, 随便填写就可以了 openssl req -sha1 -new -x509 -nodes -days 3650 -key ./cert/ca-key.pem > cert/ca-cert.pem //创建服务器端rsa 私钥和数字证书,这个命令会生成一个新的私钥(server-key.pem), 同时会使用这个新私钥来生成一个证书请求文件(server-req.pem). //这个命令同样需要回答几个问题, 随便填写即可. 不过需要注意的是, a challenge password 这一项需要为空 openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout cert/server-key.pem > cert/server-req.pem //将生成的私钥转换为 rsa 私钥文件格式 openssl rsa -in cert/server-key.pem -out cert/server-key.pem //使用原先生成的 ca 证书来生成一个服务器端的数字证书 openssl x509 -sha1 -req -in cert/server-req.pem -days 3650 -ca cert/ca-cert.pem -cakey cert/ca-key.pem -set_serial 01 > cert/server-cert.pem //创建客户端的 rsa 私钥和数字证书 openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout cert/client-key.pem > cert/client-req.pem //将生成的私钥转换为 rsa 私钥文件格式 openssl rsa -in cert/client-key.pem -out cert/client-key.pem //为客户端创建一个数字证书 openssl x509 -sha1 -req -in cert/client-req.pem -days 3650 -ca cert/ca-cert.pem -cakey cert/ca-key.pem -set_serial 01 > cert/client-cert.pem
ssl 配置
在前面的步骤中, 我们已经生成了8个文件, 分别是:
- ca-cert.pem: ca 证书, 用于生成服务器端/客户端的数字证书.
- ca-key.pem: ca 私钥, 用于生成服务器端/客户端的数字证书.
- server-key.pem: 服务器端的 rsa 私钥
- server-req.pem: 服务器端的证书请求文件, 用于生成服务器端的数字证书.
- server-cert.pem: 服务器端的数字证书.
- client-key.pem: 客户端的 rsa 私钥
- client-req.pem: 客户端的证书请求文件, 用于生成客户端的数字证书.
- client-cert.pem: 客户端的数字证书.
接下来我们就需要分别配置服务器端和客户端
- 服务器端配置
服务器端需要用到三个文件, 分别是: ca 证书, 服务器端的 rsa 私钥, 服务器端的数字证书, 我们需要在 [mysqld] 配置域下添加如下内容:
[mysqld] ssl-ca=/etc/mysql/ca-cert.pem ssl-cert=/etc/mysql/server-cert.pem ssl-key=/etc/mysql/server-key.pem
接着我们还可以更改 bind-address, 使 mysql 服务可以接收来自所有 ip 地址的客户端, 即:
bind-address = *
当配置好后, 我们需要重启 mysql 服务
最后一步, 我们添加一个需要使用 ssl 才可以登录的帐号, 来验证一下我们所配置的 ssl 是否生效:
grant all privileges on *.* to 'ssl_test'@'%' identified by 'ssl_test' require ssl; flush privileges;
当配置好后, 使用 root 登录 mysql
mysql --ssl-ca="d:/program files/openssl-win64/bin/cert/ca-cert.pem" --ssl-cert="d:/program files/openssl-win64/bin/cert/client-cert.pem" --ssl-key="d:/program files/openssl-win64/bin/cert/client-key.pem" -u coisini -p
当连接成功后, 我们执行如下指令
\s
执行 show variables like '%ssl%' 语句会有如下输出:
mysql> show variables like '%ssl%'; +---------------+-----------------+ | variable_name | value | +---------------+-----------------+ | have_openssl | yes | | have_ssl | yes | | ssl_ca | ca.pem | | ssl_capath | | | ssl_cert | server-cert.pem | | ssl_cipher | | | ssl_crl | | | ssl_crlpath | | | ssl_key | server-key.pem | +---------------+-----------------+ 9 rows in set (0.01 sec)
java配置
- 使用该命令生成java使用ssl连接所需的文件:
keytool -importcert -alias mysqlcacert -file "d:\program files\openssl-win64\bin\cert\ca-cert.pem" -keystore truststore -storepass 密码
- 将生成的文件配置系统环境变量
名:java_opts 值:-djavax.net.ssl.truststore="上一步中生成文件的本地路径" -djavax.net.ssl.truststorepassword="密码"
- jdbc配置连接
##jdbc.properties: yxaq.dz=jdbc:mysql://127.0.0.1:3306/yxaqgl?verifyservercertificate=true&usessl=true&requiressl=true