确认MySQL支持SSL,通过SHOW VARIABLES检查have_ssl和have_openssl为YES;2. 离线生成CA及服务器、客户端证书密钥并设置权限;3. 在my.cnf中配置ssl-ca、ssl-cert、ssl-key路径并重启MySQL;4. 创建REQUIRE SSL用户并用带证书参数的命令连接,实现加密通信。
在MySQL离线环境中配置SSL加密连接,能够有效保障数据库与客户端之间的数据传输安全。虽然缺少网络源可能导致依赖包获取困难,但只要提前准备好所需文件并正确配置,完全可以实现SSL安全连接。以下是详细的配置步骤。
1. 确认MySQL是否支持SSL
在开始配置前,先确认当前MySQL版本是否具备SSL功能:
- 登录MySQL执行:SHOW VARIABLES LIKE 'have_ssl';,若返回值为YES,表示支持SSL。
- 同时检查have_openssl变量,也应为YES。
- 如果返回DISABLED或NO,说明未启用SSL,需确保使用的是带有SSL支持的MySQL发行版(如官方编译版本)。
2. 生成SSL证书和密钥(离线环境自建CA)
在无网络环境下,需要手动创建私有CA并签发证书。可提前在有网络的机器上生成,再拷贝至目标服务器。
- 安装OpenSSL工具(离线安装包需提前准备)。
- 创建工作目录,例如:/etc/mysql/ssl。
- 生成CA私钥:openssl genrsa 2048 > ca-key.pem。
- 生成CA证书:openssl req -new -x509 -nodes -days 3650 -key ca-key.pem -out ca.pem。
- 生成服务器私钥和请求文件:
openssl genrsa 2048 > server-key.pem
openssl req -new -key server-key.pem -out server-req.pem - 将请求转换为证书:openssl x509 -req -in server-req.pem -days 3650 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem。
- 客户端同理生成client-cert.pem和client-key.pem。
- 所有文件复制到MySQL服务器的SSL目录,并设置权限:chmod 600 *.pem,归属mysql用户。
3. 配置MySQL启用SSL
编辑MySQL配置文件my.cnf(通常位于/etc/my.cnf或/etc/mysql/my.cnf),在[mysqld]段添加以下内容:
- ssl-ca = /etc/mysql/ssl/ca.pem
- ssl-cert = /etc/mysql/ssl/server-cert.pem
- ssl-key = /etc/mysql/ssl/server-key.pem
保存后重启MySQL服务:systemctl restart mysql 或对应启动脚本。
再次登录MySQL,执行SHOW VARIABLES LIKE '%ssl%';,确认各项路径正确且SSL处于ON状态。
4. 创建强制SSL连接的用户
为了强制使用加密连接,可以创建仅允许SSL的数据库用户:
- 执行SQL命令:
CREATE USER 'secure_user'@'%' IDENTIFIED BY 'StrongPassword';
REQUIRE SSL;
或更严格的要求:REQUIRE X509;(需客户端提供有效证书) - 授权访问:GRANT SELECT, INSERT ON db.* TO 'secure_user'@'%';
- 刷新权限:FLUSH PRIVILEGES;
客户端连接时需指定证书(如使用MySQL命令行):
mysql -u secure_user -p --host=your_ip --ssl-ca=ca.pem --ssl-cert=client-cert.pem --ssl-key=client-key.pem
基本上就这些。整个过程在离线环境下关键是提前准备好OpenSSL工具和MySQL带SSL支持的版本。证书生成一次可长期使用,建议妥善保管私钥文件。配置完成后,数据库通信即受到加密保护,防止中间人攻击和数据窃听。
