MySQL安装如何配置SSL连接？加密通信设置指南

配置MySQL SSL连接需生成CA、服务器和客户端证书，通过OpenSSL创建私钥与证书文件，配置my.cnf中ssl_ca、ssl_cert、ssl_key路径，重启服务后客户端使用对应证书连接，确保数据传输加密，防止窃听与篡改，提升安全性。

为MySQL配置SSL连接，核心在于确保数据库与客户端之间的数据传输加密，防止敏感信息在网络传输过程中被窃取或篡改。这主要通过生成或获取合适的证书（CA证书、服务器证书、客户端证书）并分别在MySQL服务器配置文件和客户端连接参数中指定这些证书路径来实现。这是保障数据安全，尤其是在公共网络环境下，不可或缺的一环。

解决方案

配置MySQL SSL连接是一个多步骤的过程，涉及到证书生成、服务器配置和客户端连接。以下是具体的实施方案：

要配置MySQL的SSL连接，首先需要一套证书体系：一个根证书颁发机构（CA）证书，以及由这个CA签发的服务器证书和客户端证书。这听起来有点复杂，但其实用OpenSSL工具自己生成一套并不难，当然，在生产环境中，你可能需要从专业的CA机构获取。

1. 准备证书文件

我通常会选择自己生成一套，方便测试和内部部署。

• 创建CA证书（Root Certificate Authority） 这是你整个SSL信任链的起点。

  # 创建CA私钥
  openssl genrsa 2048 > ca-key.pem
  
  # 创建CA证书（自签名）
  openssl req -new -x509 -nodes -days 3650 -key ca-key.pem -out ca-cert.pem -subj "/CN=MyMySQLCA"

  登录后复制

  这里

  CN=MyMySQLCA

  登录后复制
  是证书的通用名称，你可以改成任何你觉得有意义的名字。

• 创建服务器证书 服务器需要自己的私钥和证书，这个证书要由我们刚才创建的CA来签名。

  # 创建服务器私钥
  openssl genrsa 2048 > server-key.pem
  
  # 创建服务器证书签名请求
  openssl req -new -key server-key.pem -out server-req.pem -subj "/CN=localhost"
  
  # 用CA证书签名服务器证书
  openssl x509 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

  登录后复制

  注意，

  CN=localhost

  登录后复制
  这里，在生产环境中应该填写你的MySQL服务器的实际域名或IP地址，否则客户端在验证服务器身份时可能会报错。

• 创建客户端证书 如果你的客户端也需要验证自身身份，或者服务器配置了

  REQUIRE SSL

  登录后复制
  并且要求客户端提供证书，那么客户端也需要一套。

  # 创建客户端私钥
  openssl genrsa 2048 > client-key.pem
  
  # 创建客户端证书签名请求
  openssl req -new -key client-key.pem -out client-req.pem -subj "/CN=MyMySQLClient"
  
  # 用CA证书签名客户端证书
  openssl x509 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem

  登录后复制

  生成完这些文件后，记得把它们放到一个安全的地方，并且确保权限设置正确，只有MySQL用户可以读取。通常，我会把它们放在

  /etc/mysql/certs/

  登录后复制
  或者MySQL数据目录下的某个子目录里。

2. 配置MySQL服务器

编辑MySQL的配置文件

my.cnf

my.ini

[mysqld]

[mysqld]
ssl_ca=/etc/mysql/certs/ca-cert.pem
ssl_cert=/etc/mysql/certs/server-cert.pem
ssl_key=/etc/mysql/certs/server-key.pem
# 如果你希望所有连接都强制使用SSL，MySQL 8.0+ 可以使用：
# require_secure_transport=ON
# 对于旧版本，可以通过GRANT语句限制用户

保存文件后，重启MySQL服务以使配置生效。

3. 配置MySQL客户端连接

客户端连接时，需要指定CA证书、客户端证书和客户端私钥。

• MySQL命令行客户端

  mysql -h your_mysql_host -u your_user -p --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem
  # 如果只需要加密连接，不验证服务器身份，可以简化为：
  # mysql -h your_mysql_host -u your_user -p --ssl-mode=REQUIRED --ssl-ca=/path/to/ca-cert.pem
  # MySQL 8.0+ 默认连接会尝试SSL，可以简单使用 --ssl-mode=VERIFY_IDENTITY

  登录后复制

• 编程语言客户端（以Python

  mysql.connector

  登录后复制
  为例）

  import mysql.connector
  
  config = {
      'user': 'your_user',
      'password': 'your_password',
      'host': 'your_mysql_host',
      'database': 'your_database',
      'ssl_ca': '/path/to/ca-cert.pem',
      'ssl_cert': '/path/to/client-cert.pem',
      'ssl_key': '/path/to/client-key.pem',
      # 或者更简单的只要求加密连接并验证CA
      # 'ssl_mode': 'VERIFY_CA'
  }
  
  try:
      cnx = mysql.connector.connect(**config)
      cursor = cnx.cursor()
      cursor.execute("SHOW STATUS LIKE 'Ssl_cipher';")
      result = cursor.fetchone()
      if result:
          print(f"SSL Cipher: {result[1]}")
      else:
          print("SSL not in use or status not available.")
      cursor.close()
      cnx.close()
  except mysql.connector.Error as err:
      print(f"Error: {err}")

  登录后复制

完成这些步骤后，你的MySQL连接就应该通过SSL加密了。验证时，除了检查

Ssl_cipher

为什么需要为MySQL配置SSL连接？安全性考量与潜在风险

在讨论如何配置SSL之前，我总觉得有必要先聊聊“为什么”。毕竟，多一道配置，就多一份工作量，多一份可能出错的风险。但对于MySQL这样的数据库系统来说，配置SSL真的不是可有可无的选项，尤其是在现代网络环境中。

首先，最直接的理由就是数据传输的安全性。想象一下，你的应用程序和MySQL数据库之间的数据，可能经过路由器、交换机，甚至跨越不同的网络区域。如果没有SSL，这些数据——包括用户名、密码、敏感的业务数据——都是以明文形式在网络中传输的。这就好比你在大街上喊你的银行卡号和密码，任何一个有心人，只要能监听网络流量，就能轻而易举地截获这些信息。这就是所谓的中间人攻击（Man-in-the-Middle, MITM）或数据窃听（Eavesdropping）的风险。SSL在这里的作用，就像给数据穿上了一层加密的“外衣”，让它在传输过程中变得难以理解，即使被截获，也无法直接读取。

其次，身份验证的重要性。除了加密数据，SSL还能提供服务器和客户端的身份验证。这意味着客户端可以确认它连接的是真正的MySQL服务器，而不是一个伪装者；同样，服务器也可以确认连接的客户端是受信任的。这在防止钓鱼攻击和未授权访问方面至关重要。我个人觉得，只加密数据而不验证身份，就像给一个陌生人递上加密的信件，虽然信件内容安全，但你不知道收信人是不是对的人。

再者，合规性要求。在许多行业，如金融、医疗（HIPAA）、欧洲的通用数据保护条例（GDPR）等，都有严格的数据保护和隐私规定。这些规定往往强制要求对敏感数据进行加密，包括传输中的数据。如果你的系统处理这类数据，那么配置SSL就不再是“最佳实践”，而是“必须遵守的规定”了。我见过不少公司在审计时，因为数据库连接未加密而面临罚款或业务暂停的风险，那可不是闹着玩的。

最后，维护信任和专业形象。在一个越来越注重网络安全的时代，一个没有加密的数据库连接，无论从技术层面还是从用户信任层面来看，都是一个巨大的漏洞。这不仅可能导致实际的数据泄露，也可能损害公司的声誉。作为技术负责人，我深知这种潜在的负面影响远超配置SSL所需投入的精力。所以，尽管初期配置可能有些繁琐，但从长远来看，它带来的安全收益和安心感是无法衡量的。

如何生成MySQL SSL所需的证书和密钥文件？详细步骤与注意事项

生成MySQL SSL所需的证书和密钥文件，是整个SSL配置中最基础也是最容易出错的一步。我个人建议，即使是生产环境，如果预算和时间不允许从商业CA购买，自己用OpenSSL生成一套也是完全可行的，只要你严格按照步骤来，并妥善保管好这些文件。

OpenSSL是一个非常强大的工具，但它的命令行参数有时确实让人望而却步。不过，只要理解了证书链的基本原理，就会清晰很多：我们总得有一个“信任源”（CA），然后由这个信任源去“背书”服务器和客户端的身份。

1. 准备工作：创建证书存储目录

在开始之前，我通常会创建一个专门的目录来存放这些证书文件，例如

/etc/mysql/certs

sudo mkdir /etc/mysql/certs
sudo chmod 700 /etc/mysql/certs
cd /etc/mysql/certs

重要提示： 接下来的所有操作都在这个目录下进行，并且不要将生成的私钥文件公开。

2. 创建根证书颁发机构（CA）

这是整个信任链的起点。所有服务器和客户端证书都将由这个CA签名。

• 生成CA私钥：

  ca-key.pem

  登录后复制

  openssl genrsa -out ca-key.pem 2048

  登录后复制

  这个命令会生成一个2048位的RSA私钥。私钥是绝对不能泄露的，它就像CA的印章。

• 生成CA证书（自签名）：

  ca-cert.pem

  登录后复制
  

  微信 WeLM

  WeLM不是一个直接的对话机器人，而是一个补全用户输入信息的生成模型。

  33

  查看详情

  openssl req -new -x509 -nodes -days 3650 -key ca-key.pem -out ca-cert.pem -subj "/CN=MyMySQLRootCA"

  登录后复制

  • req -new -x509

    登录后复制
    : 表示创建一个新的X.509证书请求，并将其自签名成证书。

  • -nodes

    登录后复制
    : 不对私钥加密（No DES），这样MySQL启动时就不需要输入密码。在生产环境，你可能希望加密私钥，但那会增加启动时的复杂性。

  • -days 3650

    登录后复制
    : 证书有效期为10年。根据你的需求调整。

  • -key ca-key.pem

    登录后复制
    : 使用刚才生成的CA私钥。

  • -out ca-cert.pem

    登录后复制
    : 输出CA证书文件。

  • -subj "/CN=MyMySQLRootCA"

    登录后复制
    : 设置证书的主题。

    CN

    登录后复制
    是通用名称，这里我用了“MyMySQLRootCA”，你可以随意命名，但要能清晰识别。

3. 创建服务器证书

MySQL服务器需要自己的私钥和证书。这个证书将由我们自己的CA签名。

• 生成服务器私钥：

  server-key.pem

  登录后复制

  openssl genrsa -out server-key.pem 2048

  登录后复制

• 生成服务器证书签名请求（CSR）：

  server-req.pem

  登录后复制

  openssl req -new -key server-key.pem -out server-req.pem -subj "/CN=your_mysql_server_hostname_or_ip"

  登录后复制

  • CN

    登录后复制
    这里非常关键！它必须与你的MySQL服务器的实际主机名或IP地址匹配，否则客户端在验证服务器身份时会失败。如果你通过IP连接，就写IP；如果你通过域名连接，就写域名。我通常会写

    localhost

    登录后复制
    用于本地测试，或者写服务器的FQDN（完全限定域名）。

• 用CA签名服务器证书：

  server-cert.pem

  登录后复制

  openssl x509 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out server-cert.pem

  登录后复制

  • -CA ca-cert.pem

    登录后复制
    : 指定CA证书。

  • -CAkey ca-key.pem

    登录后复制
    : 指定CA私钥。

  • -CAcreateserial

    登录后复制
    : 自动创建一个序列号文件（

    ca-cert.srl

    登录后复制
    ），用于跟踪CA签发的证书。

4. 创建客户端证书（可选但推荐）

如果你的MySQL用户需要通过SSL连接，并且你希望服务器能验证客户端的身份（即双向认证），那么你需要为客户端生成证书。

• 生成客户端私钥：

  client-key.pem

  登录后复制

  openssl genrsa -out client-key.pem 2048

  登录后复制

• 生成客户端证书签名请求（CSR）：

  client-req.pem

  登录后复制

  openssl req -new -key client-key.pem -out client-req.pem -subj "/CN=MyMySQLClientUser"

  登录后复制

  • CN

    登录后复制
    这里可以是你客户端的标识，不一定需要是主机名。

• 用CA签名客户端证书：

  client-cert.pem

  登录后复制

  openssl x509 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -CAcreateserial -out client-cert.pem

  登录后复制

5. 权限设置与文件分发

生成所有证书后，最最重要的一步就是设置正确的文件权限。私钥文件（

*-key.pem

sudo chmod 400 ca-key.pem server-key.pem client-key.pem
sudo chmod 444 ca-cert.pem server-cert.pem client-cert.pem

然后，将

ca-cert.pem

server-key.pem

server-cert.pem

ca-cert.pem

client-key.pem

client-cert.pem

注意事项：

• 私钥安全： 再次强调，私钥是你的身份证明，一旦泄露，整个SSL的安全性就土崩瓦解。
• CN匹配： 服务器证书的CN字段必须与客户端连接时使用的主机名或IP地址严格匹配，否则客户端会报告证书验证失败。
• 证书有效期： 记得在证书到期前更新它们。我个人会设置一个提醒，在证书到期前几个月就开始规划更新。
• 生产环境： 在生产环境中，如果你对OpenSSL操作不够熟悉，或者有严格的合规要求，购买商业CA签发的证书会是更稳妥的选择。

MySQL服务器端SSL配置：my.cnf文件设置详解

搞定了证书文件，接下来就是告诉MySQL服务器去使用它们。这主要通过修改

my.cnf

my.ini

[mysqld]

1. 定位

my.cnf

首先，你需要找到你的MySQL服务器的配置文件。它通常位于以下位置之一：

• /etc/mysql/my.cnf

  登录后复制

• /etc/my.cnf

  登录后复制

• /usr/local/mysql/etc/my.cnf

  登录后复制
• 在Docker容器中，可能需要通过挂载卷来修改。

如果你不确定，可以登录MySQL，执行

SHOW VARIABLES LIKE 'datadir';

my.cnf

2. 编辑

my.cnf

用你喜欢的文本编辑器（如

vi

nano

my.cnf

[mysqld]

[mysqld]
# 指定CA证书的路径。这是客户端用来验证服务器证书的根证书。
ssl_ca=/etc/mysql/certs/ca-cert.pem

# 指定服务器的证书文件路径。这是服务器向客户端出示的身份证明。
ssl_cert=/etc/mysql/certs/server-cert.pem

# 指定服务器私钥文件路径。这是服务器用来解密客户端发送的加密数据，并证明自己身份的密钥。
ssl_key=/etc/mysql/certs/server-key.pem

# 以下是MySQL 8.0及更高版本特有的，用于强制所有连接都使用SSL。
# 如果设置为ON，任何非SSL连接都将被拒绝。
# 这对于确保安全至关重要，但要确保所有客户端都已配置SSL。
# require_secure_transport=ON

# 如果你希望禁止未经验证的客户端证书连接，但仍允许非证书的SSL连接，
# 可以在GRANT语句中为用户指定 REQUIRE SSL 或 REQUIRE X509。
# 但对于服务器全局强制，require_secure_transport=ON 更直接。

一些额外的思考和配置点：

• ssl_capath

  登录后复制
  ： 如果你的CA证书不是单个文件，而是一个包含多个CA证书的目录，你可以使用

  ssl_capath

  登录后复制
  来指定这个目录。MySQL会遍历目录中的所有证书。不过，我个人更喜欢把CA证书合并成一个文件，这样管理起来更简单。

• Ssl_cipher

  登录后复制
  ： 你可以指定允许使用的SSL加密套件。这可以提高安全性，例如，禁用一些已知存在漏洞的弱加密算法。例如：

  ssl_cipher=TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256

  登录后复制
  。但如果你不确定，最好让MySQL使用默认的安全套件，通常它们已经足够强大。

• require_secure_transport=ON

  登录后复制
  (MySQL 8.0+)： 这是我个人非常喜欢的一个配置。一旦启用，MySQL服务器就会拒绝任何非SSL的连接尝试。这消除了“意外”非加密连接的风险。但在启用之前，请务必确保所有需要连接的客户端都已经正确配置了SSL，否则你的应用程序可能无法连接到数据库。对于旧版本的MySQL，你需要通过

  GRANT

  登录后复制
  语句为每个用户强制SSL。

3. 重启MySQL服务

保存

my.cnf

sudo systemctl restart mysql  # 对于基于systemd的系统
# 或者
sudo service mysql restart    # 对于旧的init系统

重启后，检查MySQL的错误日志（通常在

/var/log/mysql/error.log

/var/log/mysqld.log

4. 验证SSL状态

登录MySQL客户端（即使是非SSL连接，只要服务器还在运行），执行以下命令来验证SSL是否已启用：

SHOW STATUS LIKE 'Ssl_cipher';

如果SSL已成功配置，你会看到类似

Ssl_cipher | TLS_AES_256_GCM_SHA384

Ssl_cipher |

SHOW VARIABLES LIKE '%ssl%';

这个命令会列出所有与SSL相关的配置变量，你可以检查

have_ssl

YES

ssl_ca

ssl_cert

ssl_key

故障排除小贴士：

• 权限问题： 证书和私钥文件必须对

  mysql

  登录后复制
  用户可读。这是最常见的错误之一。
• 路径错误：

  my.cnf

  登录后复制
  中指定的路径必须是绝对路径，并且要完全正确。
• 证书内容： 确保

以上就是MySQL安装如何配置SSL连接？加密通信设置指南的详细内容，更多请关注php中文网其它相关文章！