MySQL 使用 SSL 登录

整个过程就是创建三张证书（包括私钥）：自签根证书、服务器证书、客户端证书。然后配置服务器和客户端，开启 SSL 登录。

1、创建根证书

首先创建一张自签根证书（CA），先生成私钥。

openssl genrsa 2048 > ca-key.pem

然后生成公钥，根证书就制作完毕了。其中需要填写很多信息，直接回车就可以了，唯独要注意的是根证书的 Common Name 不能和后面签发的服务器、客户端证书相同，否则后面使用 SSL 登录的时候会出现错误 ERROR 2026 (HY000): SSL connection error: error:00000001:lib(0):func(0):reason(1)

openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca.pem

2、创建服务器证书

先生成签发请求 server-req.pem

openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem

生成私钥 server-key.pem

openssl rsa -in server-key.pem -out server-key.pem

最后从根证书根据签发请求生成服务器证书（公钥） server-cert.pem

openssl x509 -req -in server-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem

3、创客户端证书

和创建服务器证书流程类似，如果你有多个客户端也可以依照此流程签发多张客户端证书

openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem
openssl rsa -in client-key.pem -out client-key.pem
openssl x509 -req -in client-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem

4、验证

此时你一共得到 8 个文档

• ca-key.pem（私钥）
• ca.pem（公钥）
• server-req.pem
• server-key.pem（私钥）
• server-cert.pem（公钥）
• client-req.pem
• client-key.pem（私钥）
• client-cert.pem（公钥）

openssl verify -CAfile ca.pem server-cert.pem client-cert.pem

如果一切正常你会看到

server-cert.pem: OK
client-cert.pem: OK

5、配置服务器

在你的服务器 MySQL 配置文档 my.cnf 中 [mysqld] 下面添加

# 开启 MySQL 服务器 SSL 特性
ssl
# 根证书        
ssl-ca     = /path/to/ca.pem
# 服务器公钥
ssl-cert   = /path/to/server-cert.pem
# 服务器私钥
ssl-key    = /paht/to/server-key.pem

登录 MySQL 检验服务器配置是否正确

mysql> show variables like "%ssl%";
+---------------+--------------------------+
| Variable_name | Value                    |
+---------------+--------------------------+
| have_openssl  | YES                      |
| have_ssl      | YES                      |
| ssl_ca        | /path/to/ca.pem          |
| ssl_capath    |                          |
| ssl_cert      | /path/to/server-cert.pem |
| ssl_cipher    |                          |
| ssl_crl       |                          |
| ssl_crlpath   |                          |
| ssl_key       | /path/to/server-key.pem  |
+---------------+--------------------------+

如果你发现 hava_ssl 是 DISABLED，那么请先检查错误日志，我的一次错误经验就是在 CentOS 上面我把证书放在了 /root 目录下面，导致无论如何 hava_ssl 都是 DISABLED。（原因是 MariaDB 是没有权限访问 /root 目录的，所以在 Linux 上面还是尽量不要把一些软件启动需要的文档放在 /root 下面，以免出现权限问题）

当然还有一点要注意的是，你在 MySQL 命令行下面输入 status 命令看到的

SSL: Not in use

并不是说你的服务器没有使用 SSL，而是说你当前的数据库连接没有使用 SSL，不要弄混淆了。服务器有没有成功启用 SSL 关键还是看 hava_openssl 和 have_ssl 两个变量。

6、配置客户端

首先创建一个需要使用 SSL 登录的用户

grant select on *.* to 'test'@'localhost' identified by '123456' require ssl;

然后用新创建的这个 test 用户登录

mysql -utest -p123456 
      --ssl-ca=/path/to/ca.pem 
      --ssl-cert=/path/to/client-cert.pem 
      --ssl-key=/path/to/client-key.pem

参考

1. mysql建立ssl安全连接的配置
2. MySQL 官方文档：6.3.12.2 Creating SSL Certificates and Keys Using openssl

原文链接 大专栏  https://www.dazhuanlan.com/2019/08/16/5d55fc643aa75/

来源：https://www.cnblogs.com/chinatrump/p/11416281.html