mariadb实现主从加密通讯的详细步骤

1. 实验环境：

A. 3台centos7服务器，mariadb版本：5.5.60

B. 服务器角色：

    a)  master节点：192.168.36.121
    b)  slave节点：192.168.36.120
    c)  CA服务器：192.168.36.47

2. 具体步骤：

A. CA服务器：

a) 创建存放证书和私钥的目录

    mkdir -p /etc/my.cnf.d/ssl

b) 生成CA私钥

    cd /etc/my.cnf.d/ssl
    ( umask 0666;openssl genrsa 2048 > cakey.pem )

c) 生成自签名证书

    openssl req -new -x509 -key cakey.pem -out cacert.pem -days 3650

d) 查看自签名证书

    openssl x509 -in cacert.pem -noout -text

e) 生成master私钥和证书申请

    openssl req -newkey rsa:1024 -days 365 -nodes -keyout master.key > master.csr

f) 给master颁发证书

    openssl x509 -req -in master.csr -CA cacert.pem -CAkey cakey.pem -set_serial 01 > master.crt

g) 查看master证书

    openssl x509 -in master.crt -noout -text

h) 生成slave私钥和证书申请

    openssl req -newkey rsa:1024 -days 365 -nodes -keyout slave.key > slave.csr

i) 给slave颁发证书

    openssl x509 -req -in slave.csr -CA cacert.pem -CAkey cakey.pem -set_serial 02 > slave.crt

j) 查看slave证书

    openssl x509 -in master.crt -noout -text

k) 把CA自签名证书+master/slave的证书和私钥发送到对应的服务器

    scp -r /etc/my.cnf.d/ssl/ 192.168.36.121:/etc/my.cnf.d/
    scp -r /etc/my.cnf.d/ssl/ 192.168.36.120:/etc/my.cnf.d/
    注意：
        1、颁发过证书后，证书申请文件已无用处
        2、正常情况下，应该复制对应的证书和私钥，同时要保护好私钥

B. master节点：

a) 删除无用的证书和证书申请文件

    cd /etc/my.cnf.d/ssl/
    \rm -rf master.*
    \rm -rf cakey.pem
    \rm -rf slave.csr

b) 修改配置文件

    [mysqld]
    server_id=120
    read_only
    innodb_file_per_table
    skip_name_resolve = on 
    ssl  #有下面3项时，就表示启动ssl
    ssl-ca=/etc/my.cnf.d/ssl/cacert.pem
    ssl-cert=/etc/my.cnf.d/ssl/master.crt
    ssl-key=/etc/my.cnf.d/ssl/master.key
    datadir=/var/lib/mysql

c) 启动mariadb服务并查看相关变量

    systemctl start mariadb
    show variables like '%ssl%';

mariadb实现主从加密通讯的详细步骤

d) 创建一个强制使用加密通讯的帐户

    grant replication slave on *.* to repluser2@'192.168.36.%' identified by '123456' require ssl;

e) 查看并记录位置信息：mysql -e ‘show master logs’

mariadb实现主从加密通讯的详细步骤

C. slave节点：

a) 删除无用的证书和证书申请文件

    cd /etc/my.cnf.d/ssl/
    \rm -rf slave.*
    \rm -rf cakey.pem
    \rm -rf master.csr

b) 修改配置文件

    [mysqld]
    server_id=120
    read_only
    innodb_file_per_table
    skip_name_resolve = on 
    ssl  #有下面3项时，就表示启动ssl
    ssl-ca=/etc/my.cnf.d/ssl/cacert.pem
    ssl-cert=/etc/my.cnf.d/ssl/slave.crt
    ssl-key=/etc/my.cnf.d/ssl/slave.key
    datadir=/var/lib/mysql

c) 启动mariadb服务并查看相关变量

    systemctl start mariadb
    show variables like '%ssl%';

mariadb实现主从加密通讯的详细步骤

d) 修改change master to

    CHANGE MASTER TO 
        MASTER_HOST='192.168.36.121',
        MASTER_USER='repluser2',  #使用加密通讯的帐户
        MASTER_PASSWORD='123456',
        MASTER_LOG_FILE='mariadb-bin.000019', 
        MASTER_LOG_POS=413,
        MASTER_SSL=1;  #启动SSL通讯

e) 启动复制thread

    mysql>start slave;
    mysql>show slave status\G

f) 测试

    master节点导入创建hellodb的sql语句：

mariadb实现主从加密通讯的详细步骤

    slave节点确认：

mariadb实现主从加密通讯的详细步骤

mariadb实现主从加密通讯的详细步骤

mariadb实现主从加密通讯的详细步骤

1. 实验环境：

A. 3台centos7服务器，mariadb版本：5.5.60

B. 服务器角色：

2. 具体步骤：

A. CA服务器：

a) 创建存放证书和私钥的目录

b) 生成CA私钥

c) 生成自签名证书

d) 查看自签名证书

e) 生成master私钥和证书申请

f) 给master颁发证书

g) 查看master证书

h) 生成slave私钥和证书申请

i) 给slave颁发证书

j) 查看slave证书

k) 把CA自签名证书+master/slave的证书和私钥发送到对应的服务器

B. master节点：

a) 删除无用的证书和证书申请文件

b) 修改配置文件

c) 启动mariadb服务并查看相关变量

d) 创建一个强制使用加密通讯的帐户

e) 查看并记录位置信息：mysql -e ‘show master logs’

C. slave节点：

a) 删除无用的证书和证书申请文件

b) 修改配置文件

c) 启动mariadb服务并查看相关变量

d) 修改change master to

e) 启动复制thread

f) 测试

猜你喜欢