自己署名ルート証明書、サーバ証明書、クライアント証明書:全体のプロセスは、(民間含む)3つの証明書を作成することです。そして、サーバとクライアントを構成し、SSLログインを可能にします。
1.ルート証明書を作成します。
まず自己署名ルート証明書(CA)、チェン氏は、秘密鍵を作成します。
openssl genrsa 2048 > ca-key.pem
そして、公開鍵を生成し、ルート証明書の準備が整いました。どのルート証明書ことに注意することを除いて、それを直接入力して、多くの情報を記入する必要がある一般名 HY000(サーバは、後に発行することができない、同じクライアント証明書、またはそれ以降のSSLログインを使用している場合は、エラーERROR 2026を表示されます。 ):SSL接続エラー:エラー: 00000001:LIB(0):FUNC(0):理由(1)
openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca.pem
2、サーバー証明書を作成
チェン氏署名要求 server-req.pem
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem
秘密鍵の生成 server-key.pem
openssl rsa -in server-key.pem -out server-key.pem
最後に、発行証明書要求の生成サーバー証明書(公開鍵)のルートから server-cert.pem
openssl x509 -req -in server-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
3、クライアント証明書を作成します
あなたが複数のクライアントを持っている場合は、サーバ証明書と同様のプロセスを作成すると、このプロセスに従って発行される複数のクライアント証明することができ
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem
openssl rsa -in client-key.pem -out client-key.pem
openssl x509 -req -in client-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
4.確認してください
この時点では、8つのドキュメントの合計を取得します
-
ca-key.pem(プライベート) -
ca.pem(公開鍵) server-req.pem-
server-key.pem(プライベート) -
server-cert.pem(公開鍵) client-req.pem-
client-key.pem(プライベート) -
client-cert.pem(公開鍵)
openssl verify -CAfile ca.pem server-cert.pem client-cert.pem
すべてがうまくいけば、あなたはわかります
server-cert.pem: OK
client-cert.pem: OK
5、サーバを設定します
MySQLのサーバー設定文書でmy.cnfで[mysqld]以下を追加
# 开启 MySQL 服务器 SSL 特性
ssl
# 根证书
ssl-ca = /path/to/ca.pem
# 服务器公钥
ssl-cert = /path/to/server-cert.pem
# 服务器私钥
ssl-key = /paht/to/server-key.pem
ログインテストMySQLサーバが正しく設定されています
mysql> show variables like "%ssl%";
+---------------+--------------------------+
| Variable_name | Value |
+---------------+--------------------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | /path/to/ca.pem |
| ssl_capath | |
| ssl_cert | /path/to/server-cert.pem |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | /path/to/server-key.pem |
+---------------+--------------------------+
あなたが見つけた場合はhava_ssl市がDISABLED、そのエラーログを確認してください、私の経験は、証明書上記の私のCentOSに誤りである/rootディレクトリ、いずれにしても結果hava_sslは無効になっています。(その理由は、MariaDBはにはアクセスされていない/rootディレクトリので、トップLinux上で起動するために必要ないくつかのソフトウェアやドキュメント作成しないようにしよう/root権限の問題を回避するには、以下を)
もちろん、注意すべきもう一つのポイントは、あなたが以下のMySQLのコマンドラインを入力することでstatus確認するため
SSL: Not in use
混乱しないでください、あなたのサーバがSSLを使用していないという意味ではありませんが、現在のデータベース接続がSSLを使用しないこと。SSLキーのために有効にされていないサーバが確認することですhava_opensslし、have_ssl二つの変数。
6、クライアントを設定
まず、ユーザーを作成SSLログインを使用する必要があります
grant select on *.* to 'test'@'localhost' identified by '123456' require ssl;
その後、この新しく作成された使用testログインユーザを
mysql -utest -p123456
--ssl-ca=/path/to/ca.pem
--ssl-cert=/path/to/client-cert.pem
--ssl-key=/path/to/client-key.pem
参照
オリジナルリンク大列 https://www.dazhuanlan.com/2019/08/16/5d55fc643aa75/