Aşağıdaki komut dosyasını kullanarak MySQL için SSL'yi yapılandırdım.
#!/bin/bash
#
mkdir -p /root/abc/ssl_certs
cd /root/abc/ssl_certs
#
echo "--> 1. Create CA cert, private key"
openssl genrsa 2048 > ca-key.pem
echo "--> 2. Create CA cert, certificate"
openssl req -new -x509 -nodes -days 1000 -key ca-key.pem > ca-cert.pem
echo "--> 3. Create Server certificate, key"
openssl req -newkey rsa:2048 -days 1000 -nodes -keyout server-key.pem > server-req.pem
echo "--> 4. Create Server certificate, cert"
openssl x509 -req -in server-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
echo ""
echo
echo ""
echo "--> 5. Create client certificate, key. Use DIFFERENT common name then server!!!!"
echo ""
openssl req -newkey rsa:2048 -days 1000 -nodes -keyout client-key.pem > client-req.pem
echo "6. Create client certificate, cert"
openssl x509 -req -in client-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem
exit 0
Aşağıdaki dosyalar oluşturuldu:
ca-key.pem ca-cert.pem
server-req.pem server-key.pem server-cert.pem
client-req.pem client-key.pem client-cert.pem
Sonra server-cert.pem ve client-cert.pem dosyalarını ca.pem'de birleştirdim (bunu yapmak için bir yazıda okudum ..)
MySQL'de bir SSL kullanıcısı oluşturdum:
GRANT ALL ON *.* to sslsuer@hostname IDENTIFIED BY 'pwd' REQUIRE SSL;
Sonra my.cnf içine aşağıdakileri ekledim
[mysqld]
ssl-ca = /root/abc/ssl_certs/ca.pem
ssl-cert = /root/abc/ssl_certs/server-cert.pem
ssl-key = /root/abc/ssl_certs/server-key.pem
Sunucuyu yeniden başlattıktan sonra mysql'e bağlandım ancak SSL hala kullanılmıyordu :(
mysql -u ssluser -p
SSL: Not in use
Have_ssl parametresi bile hala devre dışı görünüyordu .. :(
mysql> show variables like '%ssl%';
+---------------+---------------------------------------------+
| Variable_name | Value |
+---------------+---------------------------------------------+
| have_openssl | DISABLED |
| have_ssl | DISABLED |
| ssl_ca | /root/abc/ssl_certs/ca.pem |
| ssl_capath | |
| ssl_cert | /root/abc/ssl_certs/server-cert.pem |
| ssl_cipher | |
| ssl_key | /root/abc/ssl_certs/server-key.pem |
+---------------+---------------------------------------------+
Herhangi bir adımı atladım mı, yanlış olan mı?
Ayrıntılı olarak cevapsız adımlarla cevaplar çok takdir edilecektir.
Hangi OpenSSL sürümünü kullanıyorsunuz? Ve lütfen MySQL'de hata + uyarı günlüğünü etkinleştirin. "Özel anahtarı okuyamıyor" hata iletisini görürseniz, büyük olasılıkla bu hatayı bir şekilde vurursunuz. Eski bir sistemde yeni anahtarlar + sertifikalar oluşturmak, bunları yeni bir MySQL'de kullanmak sorunu benim için çözdü.
—
gertvdijk
@gertvdijk openssl-1.0.1c kullandım. Belirtilen hata için günlükleri kontrol ediyorum.
—
Sunrays
Her şeyden önce. MySQL'in SSL'yi destekleyip desteklemediğini kontrol edin.
—
Valentin Bayrami
mysql --ssl --helpAyrıca my.cnf için bu tadilatın yapılarak yeniden başlatma mysql unutmayın
@ val0x00ff evet have_ssl değeri devre dışı bırakılmışsa MySQL ssl'yi destekler.
—
Günışığı
mysql --ssl -u ssluser -pistemcide SSL'yi zorlamaya çalışın . sonra çalışan biri neden REQuIRE SSL neden tanımlamak için olabilir.