简介
数据库开通SSL加密连接是确保数据传输过程中安全性的关键措施,它通过加密数据、验证服务器身份、保护敏感信息、维护数据完整性和可靠性,同时满足行业标准和法规要求,进而提升用户体验和信任度,为企业的数据安全和业务连续性提供坚实保障。
具体步骤
系统环境:Ubuntu20.04
MySQL版本:5.7.9
首先,跳转到MySQL的bin目录,然后使用root权限生成所需证书:
#我的服务器中MySQL安装在/usr/local目录下
cd /usr/local/mysql/bin
#使用root用户
sudo su
#证书生成
./mysql_ssl_rsa_setup
最后会在data目录下生成相关证书。
查看证书期限:
openssl x509 -in server-cert.pem -noout -dates
可以看到该证书有效期为10年,到期后或需要轮转证书,需要关闭MySQL,然后重新生成证书
因为使用root用户生成的文件权限是归属于root,所以需要将生成的证书文件权限分配给MySQL用户:
chown -R mysql:mysql data/
重启MySQL
systemctl restart mysqld
然后进入数据库查看是否已开启ssl连接:
show variables like '%ssl%';
接下来,我们可以创建需要使用ssl远程连接的用户或更新现有用户强制使用ssl连接:
#创建新用户
CREATE USER 'ssluser'@'%' IDENTIFIED BY 'password' REQUIRE SSL;
GRANT ALL PRIVILEGES ON *.* TO 'ssluser'@'%';
FLUSH PRIVILEGES;
#更新现有用户,%代表可以使用任何用户连接,也可以使用特定主机进行进行操作。
ALTER USER 'test'@'%' REQUIRE SSL;
FLUSH PRIVILEGES;
验证
查询用户的SSL要求
#我这里命令使用的是test用户,实际我是用root用户做的测试,具体用户看你的情况
SELECT user, host, ssl_type FROM mysql.user WHERE user = 'test';
使用Navicat进行远程连接:
首先需要先将客户端证书拷贝到本地:
sudo cp ca.pem client-cert.pem client-key.pem /home/test
#因为我是root用户直接拷贝的,所以使用SFTP下载到本地出现了权限不足问题,需要使用chown命令将证书文件权限分配给当前用户
sudo chown teat:test ca.pem client-cert.pem client-key.pem
需要拷贝CA证书(ca.pem),客户端证书(client-key.pem),客户端密钥(client-key.pem)。
然后在Navicat添加客户端证书:
测试连接
现在就表明已经配置成功了,然后可以进行抓包测试
可以看到抓包结果已经显示了TLS协议加密了,使用SSL连接会导致大约10%到30%的性能损耗,具体取决于加密算法、硬件性能和连接类型(长连接通常比短连接更有效)。
今日推荐
小说:《龙符》
简介:苍茫大地,未来变革,混乱之中,龙蛇并起,谁是真龙,谁又是蟒蛇?或是天地众生,皆可成龙?朝廷,江湖门派,世外仙道,千年世家,蛮族,魔神,妖族,上古巫道,势力,相互纠缠,因缘际会。