MySQL5.7配置SSL加密

PS:本文整理自https://www.cnblogs.com/imweihao/p/7199547.html

本文内容还未经过只是简单操作了一下,后续再回来完善

(一)SSL介绍
SSL(Secure Socket Layer:安全套接字层)利用数据加密、身份验证和消息完整性验证机制,为基于TCP等可靠连接的应用层协议提供安全性保证。
SSL协议提供的功能主要有:
           1、数据传输的机密性:利用对称密钥算法对传输的数据进行加密。
           2.、身份验证机制:基于证书利用数字签名方法对服务器和客户端进行身份验证,其中客户端的身份验证是可选的。
           3、消息完整性验证:消息传输过程中使用MAC算法来检验消息的完整性。
如果用户的传输不是通过SSL的方式,那么其在网络中数据都是以明文进行传输的,而这给别有用心的人带来了可乘之机。所以,现在很多大型网站都开启了SSL功能。同样地,在我们数据库方面,如果客户端连接服务器获取数据不是使用SSL连接,那么在传输过程中,数据就有可能被窃取。
(二)MySQL5.7配置SSL

1.查看MySQL是否开启SSL
如果have_ssl为DISABLED,说明未开启

mysql> show variables like "%ssl%";
+---------------+-----------------+
| Variable_name | Value           |
+---------------+-----------------+
| have_openssl  | DISABLED        |
| have_ssl      | DISABLED        |
| ssl_ca        | ca.pem          |
| ssl_capath    |                 |
| ssl_cert      | server-cert.pem |
| ssl_cipher    |                 |
| ssl_crl       |                 |
| ssl_crlpath   |                 |
| ssl_key       | server-key.pem  |
+---------------+-----------------+
9 rows in set (0.00 sec)

2.启用SSL

systemctl stop mysqld

mysql_ssl_rsa_setup

在mysql的数据目录下(可以再my.cnf里查看datadir数据目录路径,我的在以下路径/data/mysql/data)

然后将该目录下所有的pem文件属主修改为mysql

systemctl start mysqld

mysql> show variables like "%have_ssl%";
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl      | YES   |
+---------------+-------+
1 row in set (0.00 sec)

mysql>

3.配置SSL

修改my.cnf文件,在mysql和mysqld模块下添加以下内容

ssl-ca=/data/mysql/data/ca.pem
ssl-cert=/data/mysql/data/client-cert.pem
ssl-key=/data/mysql/data/client-key.pem

systemctl restart mysqld

登录查看mysql状态,确认是否开启ssl

mysql> status
--------------
mysql  Ver 14.14 Distrib 5.7.15, for linux-glibc2.5 (x86_64) using  EditLine wrapper

Connection id:        2
Current database:    
Current user:        root@localhost
SSL:            Cipher in use is DHE-RSA-AES256-SHA    #这里有对应的算法名称,说明该连接启用了ssl
Current pager:        stdout
Using outfile:        ''
Using delimiter:    ;
Server version:        5.7.15-log MySQL Community Server (GPL)
Protocol version:    10
Connection:        Localhost via UNIX socket
Server characterset:    gbk
Db     characterset:    gbk
Client characterset:    gbk
Conn.  characterset:    gbk
UNIX socket:        /data/mysql/run/mysql.sock
Uptime:            38 sec

Threads: 1  Questions: 6  Slow queries: 0  Opens: 108  Flush tables: 1  Open tables: 101  Queries per second avg: 0.157
--------------

mysql> 

也可以通过执行show status like 'ssl_cipher';

mysql>  show status like 'ssl_cipher';
+---------------+--------------------+
| Variable_name | Value              |
+---------------+--------------------+
| Ssl_cipher    | DHE-RSA-AES256-SHA |
+---------------+--------------------+
1 row in set (0.01 sec)

mysql> 

 配置用户启用SSL
#修改已存在用户
mysql> ALTER USER 'dba'@'%' REQUIRE SSL;
#新建必须使用SSL用户
mysql> grant select on *.* to 'dba'@'%' identified by 'xxx' REQUIRE SSL;
则远程登录命令如下:
 mysql -h 10.126.xxx.xxx -u dba -p --ssl
不使用SSL的话,可能会被人通过例如tshark等工具进行抓包获取数据
开启SSL后,数据库QPS平均降低了23%左右,相对还是比较影响性能的。从SSL实现方式来看,建立连接时需要进行握手、加密、解密等操作。所以耗时基本都在建立连接阶段,这对于使用短链接的应用程序可能产生更大的性能损耗,比如采用PHP开发。不过如果使用连接池或者长连接可能会好许多。
总结
1、MySQL5.7默认是开启SSL连接,如果强制用户使用SSL连接,那么应用程序的配置也需要明确指定SSL相关参数,否则程序会报错。
2、虽然SSL方式使得安全性提高了,但是相对地使得QPS也降低23%左右。所以要谨慎选择:
      2.1、对于非常敏感核心的数据,或者QPS本来就不高的核心数据,可以采用SSL方式保障数据安全性;
      2.2、对于采用短链接、要求高性能的应用,或者不产生核心敏感数据的应用,性能和可用性才是首要,建议不要采用SSL方式;

 

posted on 2020-06-03 18:23  标配的小号  阅读(3317)  评论(0编辑  收藏  举报

导航