首先确认MySQL支持SSL,通过SHOW VARIABLES LIKE 'have_ssl'检查;若支持,使用mysql_ssl_rsa_setup生成证书文件,并在my.cnf的[mysqld]段配置ssl-ca、ssl-cert和ssl-key指向对应文件;重启MySQL服务后再次验证SSL状态为YES;创建用户时指定REQUIRE SSL强制加密连接;客户端用--ssl-mode=REQUIRED测试连接,通过STATUS或SHOW SESSION STATUS验证SSL加密。
在MySQL中启用加密连接可以确保客户端与服务器之间的数据传输安全,防止敏感信息被窃听。要实现加密连接,需要配置SSL(Secure Sockets Layer)或TLS(Transport Layer Security)。以下是具体配置步骤。
检查MySQL是否支持SSL
首先确认你的MySQL服务器是否编译并启用了SSL支持。
- 登录MySQL执行:SHOW VARIABLES LIKE 'have_ssl';
- 如果返回值为 YES,说明支持SSL;若为 DISABLED 或 NO,则需重新编译或安装支持SSL的版本。
生成SSL证书和密钥
MySQL可以使用自带的脚本自动生成SSL证书文件,也可以使用OpenSSL手动创建。
- 进入MySQL的bin目录,运行:mysql_ssl_rsa_setup --datadir=/path/to/ssl_dir
- 该命令会生成如 ca.pem、server-cert.pem、server-key.pem、client-cert.pem、client-key.pem 等必要文件。
- 确保证书文件权限安全(如600),避免其他用户读取。
配置MySQL启用SSL
编辑MySQL配置文件 my.cnf(Linux下通常位于 /etc/my.cnf 或 /etc/mysql/my.cnf)。
- 在 [mysqld] 段添加以下内容:
[mysqld] ssl-ca = /path/to/ssl_dir/ca.pem ssl-cert = /path/to/ssl_dir/server-cert.pem ssl-key = /path/to/ssl_dir/server-key.pem
强制用户使用SSL连接
你可以为特定用户设置连接必须使用SSL。
- 创建或修改用户时指定REQUIRE SSL:
CREATE USER 'secure_user'@'%' IDENTIFIED BY 'password' REQUIRE SSL; -- 或 ALTER USER 'existing_user'@'%' REQUIRE SSL;
客户端连接测试SSL
使用MySQL客户端测试是否通过SSL连接成功。
- 连接时添加 --ssl-mode=REQUIRED 参数:
mysql -u secure_user -h your_host -p --ssl-mode=REQUIRED
基本上就这些。只要证书配置正确,MySQL能自动处理加密握手。生产环境中建议定期更新证书,并结合防火墙策略进一步提升安全性。不复杂但容易忽略细节,比如路径权限或配置段落写错位置。
