1、创建根证书
首先创建一张自签根证书(CA),先生成私钥。
openssl genrsa 2048 > ca-key.pem
然后生成公钥,根证书就制作完毕了。其中需要填写很多信息,直接回车就可以了,唯独要注意的是根证书的 Common Name 不能和后面签发的服务器、客户端证书相同,否则后面使用 SSL 登录的时候会出现错误 ERROR 2026 (HY000): SSL connection error:
error:00000001:lib(0):func(0):reason(1)
openssl req -new -x509 -nodes -days 3600 -key ca-key.pem -out ca.pem
2、创建服务器证书
先生成签发请求 server-req.pem
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout server-key.pem -out server-req.pem
生成私钥 server-key.pem
openssl rsa -in server-key.pem -out server-key.pem
最后从根证书根据签发请求生成服务器证书(公钥) server-cert.pem
openssl x509 -req -in server-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out server-cert.pem
3、创客户端证书
和创建服务器证书流程类似,如果你有多个客户端也可以依照此流程签发多张客户端证书
openssl req -newkey rsa:2048 -days 3600 -nodes -keyout client-key.pem -out client-req.pem
openssl rsa -in client-key.pem -out client-key.pem
openssl x509 -req -in client-req.pem -days 3600 -CA ca.pem -CAkey ca-key.pem -set_serial 01 -out client-cert.pem
4、验证
此时你一共得到 8 个文档ca-key.pem(私钥)
ca.pem(公钥)
server-req.pem
server-key.pem(私钥)
server-cert.pem(公钥)
client-req.pem
client-key.pem(私钥)
client-cert.pem(公钥)
openssl verify -CAfile ca.pem server-cert.pem client-cert.pem
如果一切正常你会看到
server-cert.pem: OK
client-cert.pem: OK
5、配置服务器
在你的服务器 MySQL 配置文档 my.cnf 中 [mysqld] 下面添加
# 开启 MySQL 服务器 SSL 特性
ssl
# 根证书
ssl-ca = /path/to/ca.pem
# 服务器公钥
ssl-cert = /path/to/server-cert.pem
# 服务器私钥
ssl-key = /paht/to/server-key.pem
登录 MySQL 检验服务器配置是否正确
mysql> show variables like "%ssl%";
+---------------+--------------------------+
| Variable_name | Value |
+---------------+--------------------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | /path/to/ca.pem |
| ssl_capath | |
| ssl_cert | /path/to/server-cert.pem |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | /path/to/server-key.pem |
+---------------+--------------------------+
如果你发现 hava_ssl 是 DISABLED,那么请先检查错误日志,我的一次错误经验就是在 CentOS 上面我把证书放在了 /root 目录下面,导致无论如何 hava_ssl 都是 DISABLED。(原因是 MariaDB 是没有权限访问 /root 目录的,所以在 Linux 上面还是尽量不要把一些软件启动需要的文档放在 /root 下面,以免出现权限问题)
当然还有一点要注意的是,你在 MySQL 命令行下面输入 status 命令看到的
SSL: Not in use
并不是说你的服务器没有使用 SSL,而是说你当前的数据库连接没有使用 SSL,不要弄混淆了。服务器有没有成功启用 SSL 关键还是看 hava_openssl 和 have_ssl 两个变量。
6、配置客户端
首先创建一个需要使用 SSL 登录的用户
grant select on *.* to 'test'@'localhost' identified by '123456' require ssl;
然后用新创建的这个 test 用户登录
mysql -utest -p123456
--ssl-ca=/path/to/ca.pem
--ssl-cert=/path/to/client-cert.pem
--ssl-key=/path/to/client-key.pem