Configuré SSL para MySQL usando el siguiente script.
#!/bin/bash
#
mkdir -p /root/abc/ssl_certs
cd /root/abc/ssl_certs
#
echo "--> 1. Create CA cert, private key"
openssl genrsa 2048 > ca-key.pem
echo "--> 2. Create CA cert, certificate"
openssl req -new -x509 -nodes -days 1000 -key ca-key.pem > ca-cert.pem
echo "--> 3. Create Server certificate, key"
openssl req -newkey rsa:2048 -days 1000 -nodes -keyout server-key.pem > server-req.pem
echo "--> 4. Create Server certificate, cert"
openssl x509 -req -in server-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
echo ""
echo
echo ""
echo "--> 5. Create client certificate, key. Use DIFFERENT common name then server!!!!"
echo ""
openssl req -newkey rsa:2048 -days 1000 -nodes -keyout client-key.pem > client-req.pem
echo "6. Create client certificate, cert"
openssl x509 -req -in client-req.pem -days 1000 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem
exit 0
Se crearon los siguientes archivos:
ca-key.pem ca-cert.pem
server-req.pem server-key.pem server-cert.pem
client-req.pem client-key.pem client-cert.pem
Luego combiné server-cert.pem y client-cert.pem en ca.pem (lo leí en una publicación para hacerlo ...)
Creé un usuario SSL en MySQL:
GRANT ALL ON *.* to sslsuer@hostname IDENTIFIED BY 'pwd' REQUIRE SSL;
Luego agregué lo siguiente en my.cnf
[mysqld]
ssl-ca = /root/abc/ssl_certs/ca.pem
ssl-cert = /root/abc/ssl_certs/server-cert.pem
ssl-key = /root/abc/ssl_certs/server-key.pem
Después de reiniciar el servidor, me conecté a mysql pero SSL todavía no estaba en uso :(
mysql -u ssluser -p
SSL: Not in use
Incluso el parámetro have_ssl seguía mostrando deshabilitado .. :(
mysql> show variables like '%ssl%';
+---------------+---------------------------------------------+
| Variable_name | Value |
+---------------+---------------------------------------------+
| have_openssl | DISABLED |
| have_ssl | DISABLED |
| ssl_ca | /root/abc/ssl_certs/ca.pem |
| ssl_capath | |
| ssl_cert | /root/abc/ssl_certs/server-cert.pem |
| ssl_cipher | |
| ssl_key | /root/abc/ssl_certs/server-key.pem |
+---------------+---------------------------------------------+
¿Me he perdido algún paso, o qué pasa?
Las respuestas con pasos perdidos en detalle serán muy apreciadas.
mysql
ssl
ssl-certificate
encryption
Rayos de sol
fuente
fuente
mysql --ssl --helpAdemás, no olvide reiniciar mysql después de hacer esas modificaciones a my.cnfmysql --ssl -u ssluser -pforzar SSL en el cliente. después de que funciona, uno puede identificar por qué REQuIRE SSL no lo hace.Respuestas:
Consulte la solución aquí: /ubuntu/194074/enabling-ssl-in-mysql
Necesita convertir certificados al formato anterior:
fuente
Intenta verificar esto:
mysql?) Lea los archivos. En/rootno creo que tenga por defecto.fuente
En Ubuntu, puede verificar si
apparmorbloquea el acceso a sus archivos cert, consulte el manual .Luego, debe verificar los permisos / propiedad del archivo y agregar los derechos necesarios
/etc/apparmor.d/usr.sbin.mysqld. Ver este hilo .fuente
Tuve este problema y ayudó a cambiar la propiedad de los archivos .pem:
(De Craig Wright - /ubuntu/194074/enabling-ssl-in-mysql )
fuente
Agregue el "ssl" en la
[mysqld]sección en elmy.cnfarchivo comoy luego reinicie mysql y verifique nuevamente. Funcionará.
fuente
Creo que este problema se debe al hecho de que no ha especificado las rutas de archivo para su certificado de CA, clave de servidor y certificado de servidor correctamente. Debe estar en el siguiente formato ...
es decir, necesita la RUTA DE ARCHIVO COMPLETO de los certificados y las claves dentro de su carpeta de instalación de mysql, no una ruta relativa '/ root /'.
Aquí hay un ejemplo de mi instalación:
Consulte el siguiente enlace para obtener información adicional. https://dev.mysql.com/doc/connector-net/en/connector-net-tutorials-ssl.html
fuente
/, lo que significa que son caminos completos, no caminos relativos./root/es la carpeta de inicio para el usuario root en un sistema unix.