用戶想要與MySQL服務(wù)器建立一條安全連接時(shí)，常常依賴VPN隧道或SSH隧道。不過，獲得MySQL連接的另一個(gè)辦法是，啟用MySQL服務(wù)器上的SSL封裝器(SSL wrapper)。這每一種方法各有其優(yōu)缺點(diǎn)。比如說，在出現(xiàn)多條短時(shí)間MySQL連接的高度動(dòng)態(tài)環(huán)境下，VPN或SSH隧道也許是比SSL更好的選擇，因?yàn)楹笳呓⒚織l連接時(shí)需要成本高昂的SSL握手計(jì)算。另一方面，如果是長(zhǎng)時(shí)間運(yùn)行的MySQL連接比較少的那些應(yīng)用，基于SSL的加密可能很合理。由于MySQL服務(wù)器已經(jīng)內(nèi)置了SSL支持功能，你不需要實(shí)施VPN或SSH隧道之類單獨(dú)的安全層，這種隧道有其自己的維護(hù)開銷。

在MySQL服務(wù)器中實(shí)施SSL可以加密在服務(wù)器與客戶機(jī)之間來回傳輸?shù)乃袛?shù)據(jù)，因而防止廣域網(wǎng)或數(shù)據(jù)中心里面可能出現(xiàn)的竊聽或數(shù)據(jù)嗅探行為。此外，SSL還通過SSL證書提供了身份驗(yàn)證機(jī)制，因而可以保護(hù)用戶，遠(yuǎn)離可能出現(xiàn)的網(wǎng)絡(luò)釣魚攻擊。

我們?cè)诒疚闹袑⒔榻B如何啟用MySQL服務(wù)器上的SSL。請(qǐng)注意：同樣過程適用于MariaDB服務(wù)器。

創(chuàng)建Server SSL證書和私鑰

我們必須為MySQL服務(wù)器創(chuàng)建SSL證書和私鑰，通過SSL連接到服務(wù)器時(shí)要用到它們。

首先，創(chuàng)建一個(gè)臨時(shí)的工作目錄，我們將把私鑰和證書文件放在該目錄下。

$ sudo mkdir ~/cert $ cd ~/cert

確保OpenSSL已安裝在運(yùn)行MySQL服務(wù)器的系統(tǒng)上。通常，所有Linux發(fā)行版在默認(rèn)情況下都安裝了OpenSSL。想檢查一下OpenSSL有沒有安裝，不妨使用下面這個(gè)命令。

$ openssl version OpenSSL 1.0.1f 6 Jan 2014

現(xiàn)在，繼續(xù)創(chuàng)建CA私鑰和證書。下面這些命令將創(chuàng)建ca-key.pem和ca-cert.pem。

$ openssl genrsa 2048 > ca-key.pem $ openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

第二個(gè)命令會(huì)詢問你幾個(gè)問題。你在這些字段里填入什么并不重要。只管填好那些字段。

下一步是為服務(wù)器創(chuàng)建私鑰。

$ openssl req -sha1 -newkey rsa:2048 -days 730 -nodes -keyout server-key.pem > server-req.pem

這個(gè)命令會(huì)再次詢問幾個(gè)問題，你可以填寫上一步中提供的相同答案。

下一步，使用下面這個(gè)命令，將服務(wù)器的私鑰導(dǎo)出成RSA類型的密鑰。

$ openssl rsa -in server-key.pem -out server-key.pem

最后，使用CA證書，創(chuàng)建服務(wù)器證書。

$ openssl x509 -sha1 -req -in server-req.pem -days 730 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

配置MySQL服務(wù)器上的SSL

完成上述過程后，我們應(yīng)該有了CA證書、服務(wù)器的私鑰及其證書。下一步就是配置MySQL服務(wù)器，以便使用私鑰和證書。

在配置MySQL服務(wù)器之前，檢查一下SSL選項(xiàng)已被啟用還是被禁用。為此，登錄進(jìn)入到MySQL服務(wù)器，輸入下面這個(gè)查詢。

mysql> SHOW GLOBAL VARIABLES LIKE 'have_%ssl';

該查詢的結(jié)果會(huì)如同下圖。

請(qǐng)注意：“have_openssl”和“have_ssl”變量的默認(rèn)值是“被禁用”，如下所示。想啟用MySQL服務(wù)器中的SSL，繼續(xù)執(zhí)行下列步驟。

1. 將ca-cert.pem、server-cert.pem和server-key.pem拷貝或移動(dòng)到/etc目錄下。

$ sudo mkdir /etc/mysql-ssl $ sudo cp ca-cert.pem server-cert.pem server-key.pem /etc/mysql-ssl

2. 使用文本編輯工具，打開服務(wù)器的my.cnf配置文件。添加或去掉注釋[mysqld]部分中類似下面內(nèi)容的幾行。這些應(yīng)該指向你放在/etc/mysql-ssl中的私鑰和證書。

[mysqld]

ssl-ca=/etc/mysql-ssl/ca-cert.pem

ssl-cert=/etc/mysql-ssl/server-cert.pem

ssl-key=/etc/mysql-ssl/server-key.pem

3. 在my.cnf中，還要找到“bind-address = 127.0.0.1”，并將它改成：

bind-address = *

那樣一來，你就可以從另一個(gè)主機(jī)連接到MySQL服務(wù)器了。

4. 重啟MySQL服務(wù)。

$ sudo service mysql restart

或

$ sudo systemctl restart mysql

或

$ sudo /etc/init.d/mysql restart