首先确认MySQL服务端已启用SSL,通过SHOW VARIABLES LIKE '%ssl%'检查have_ssl为YES,并获取ca.pem、client-cert.pem和client-key.pem证书文件;然后将证书安全复制到客户端并设置权限;接着在客户端连接时通过命令行或~/.my.cnf配置ssl-ca、ssl-cert、ssl-key参数;最后使用status或SHOW STATUS LIKE 'Ssl_cipher'验证SSL连接生效,确保数据传输安全。
MySQL客户端安装后启用SSL连接,能有效保障客户端与数据库服务器之间的数据传输安全。配置过程主要涉及确认服务端支持SSL、获取必要证书文件以及在客户端正确配置连接参数。以下是具体操作步骤。
确认MySQL服务端已启用SSL
在配置客户端前,先确保MySQL服务端已开启SSL支持:
- 登录MySQL服务端执行:SHOW VARIABLES LIKE '%ssl%';
- 查看have_ssl值是否为YES,若为YES表示服务端支持SSL
- 同时检查ssl_ca、ssl_cert、ssl_key等参数是否配置了证书路径
获取必要的SSL证书文件
客户端需要以下文件才能建立安全连接:
- ca.pem:CA根证书,用于验证服务器身份
- client-cert.pem(可选):客户端证书
- client-key.pem(可选):客户端私钥
这些文件通常位于MySQL服务端的/var/lib/mysql/或配置指定的目录下。可通过安全方式复制到客户端机器,并设置适当权限(如600)防止泄露。
配置MySQL客户端使用SSL连接
有多种方式让MySQL客户端通过SSL连接服务器:
- 命令行连接时指定SSL参数:
mysql -u username -h host_ip -p --ssl-ca=/path/to/ca.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem - 在~/.my.cnf配置文件中设置:
[client] host=your_mysql_host user=your_username password=your_password ssl-ca=/path/to/ca.pem ssl-cert=/path/to/client-cert.pem ssl-key=/path/to/client-key.pem
保存后,使用mysql命令将自动使用SSL连接。
验证SSL连接是否生效
连接成功后,执行以下命令确认当前会话是否使用SSL:
status查看输出中的SSL项,显示Cipher in use is TLS_AES_256_GCM_SHA384(或其他加密套件)即表示SSL已启用。也可执行:
SHOW STATUS LIKE 'Ssl_cipher';若返回非空值,则说明当前连接为SSL加密连接。
基本上就这些。只要服务端启用了SSL并提供可信证书,客户端正确配置路径即可实现安全连接。注意定期更新证书,避免因过期导致连接失败。
