最近項目中用到了SSL連接,記錄一下,環境為windows10,Mysql版本為5.6
查看是否支持 SSL
首先在 MySQL 上執行如下命令, 查詢是否 MySQL 支持 SSL:
mysql> SHOW VARIABLES LIKE 'have_ssl';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl | YES |
+---------------+-------+
1 row in set (0.02 sec)
當 have_ssl 為 YES 時, 表示此時 MySQL 服務已經支持 SSL 了. 如果是 DESABLE, 則需要在啟動 MySQL 服務時, 使能 SSL 功能.
使用 OpenSSL 創建 SSL 證書和私鑰
- 根據自己的操作系統下載Win(xx)OpenSSL安裝
- 新建一個目錄用於存放生成的證書和私鑰
//生成一個 CA 私鑰
openssl genrsa 2048 > cert/ca-key.pem
//使用私鑰生成一個新的數字證書,執行這個命令時, 會需要填寫一些問題, 隨便填寫就可以了
openssl req -sha1 -new -x509 -nodes -days 3650 -key ./cert/ca-key.pem > cert/ca-cert.pem
//創建服務器端RSA 私鑰和數字證書,這個命令會生成一個新的私鑰(server-key.pem), 同時會使用這個新私鑰來生成一個證書請求文件(server-req.pem).
//這個命令同樣需要回答幾個問題, 隨便填寫即可. 不過需要注意的是, A challenge password 這一項需要為空
openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout cert/server-key.pem > cert/server-req.pem
//將生成的私鑰轉換為 RSA 私鑰文件格式
openssl rsa -in cert/server-key.pem -out cert/server-key.pem
//使用原先生成的 CA 證書來生成一個服務器端的數字證書
openssl x509 -sha1 -req -in cert/server-req.pem -days 3650 -CA cert/ca-cert.pem -CAkey cert/ca-key.pem -set_serial 01 > cert/server-cert.pem
//創建客戶端的 RSA 私鑰和數字證書
openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout cert/client-key.pem > cert/client-req.pem
//將生成的私鑰轉換為 RSA 私鑰文件格式
openssl rsa -in cert/client-key.pem -out cert/client-key.pem
//為客戶端創建一個數字證書
openssl x509 -sha1 -req -in cert/client-req.pem -days 3650 -CA cert/ca-cert.pem -CAkey cert/ca-key.pem -set_serial 01 > cert/client-cert.pem
SSL 配置
在前面的步驟中, 我們已經生成了8個文件, 分別是:
- ca-cert.pem: CA 證書, 用於生成服務器端/客戶端的數字證書.
- ca-key.pem: CA 私鑰, 用於生成服務器端/客戶端的數字證書.
- server-key.pem: 服務器端的 RSA 私鑰
- server-req.pem: 服務器端的證書請求文件, 用於生成服務器端的數字證書.
- server-cert.pem: 服務器端的數字證書.
- client-key.pem: 客戶端的 RSA 私鑰
- client-req.pem: 客戶端的證書請求文件, 用於生成客戶端的數字證書.
- client-cert.pem: 客戶端的數字證書.
接下來我們就需要分別配置服務器端和客戶端
- 服務器端配置
服務器端需要用到三個文件, 分別是: CA 證書, 服務器端的 RSA 私鑰, 服務器端的數字證書, 我們需要在 [mysqld] 配置域下添加如下內容:
[mysqld]
ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem
接着我們還可以更改 bind-address, 使 MySQL 服務可以接收來自所有 ip 地址的客戶端, 即:
bind-address = *
當配置好后, 我們需要重啟 MySQL 服務
最后一步, 我們添加一個需要使用 SSL 才可以登錄的帳號, 來驗證一下我們所配置的 SSL 是否生效:
GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;
FLUSH PRIVILEGES;
當配置好后, 使用 root 登錄 MySQL
mysql --ssl-ca="D:/Program Files/OpenSSL-Win64/bin/cert/ca-cert.pem" --ssl-cert="D:/Program Files/OpenSSL-Win64/bin/cert/client-cert.pem" --ssl-key="D:/Program Files/OpenSSL-Win64/bin/cert/client-key.pem" -u coisini -p
當連接成功后, 我們執行如下指令
\s
執行 show variables like '%ssl%' 語句會有如下輸出:
mysql> show variables like '%ssl%';
+---------------+-----------------+
| Variable_name | Value |
+---------------+-----------------+
| have_openssl | YES |
| have_ssl | YES |
| ssl_ca | ca.pem |
| ssl_capath | |
| ssl_cert | server-cert.pem |
| ssl_cipher | |
| ssl_crl | |
| ssl_crlpath | |
| ssl_key | server-key.pem |
+---------------+-----------------+
9 rows in set (0.01 sec)
JAVA配置
- 使用該命令生成java使用SSL連接所需的文件:
keytool -importcert -alias MySQLCACert -file "D:\Program Files\OpenSSL-Win64\bin\cert\ca-cert.pem" -keystore truststore -storepass 密碼
- 將生成的文件配置系統環境變量
名:JAVA_OPTS
值:-Djavax.net.ssl.trustStore="上一步中生成文件的本地路徑" -Djavax.net.ssl.trustStorePassword="密碼"
- JDBC配置連接
##jdbc.properties:
yxaq.dz=jdbc:mysql://127.0.0.1:3306/yxaqgl?verifyServerCertificate=true&useSSL=true&requireSSL=true