Escenario: autenticación del servidor MySQL

Le recomendamos que utilice un certificado TLS para autenticar el servidor MySQL. Puede usar un certificado de una autoridad de certificación (AC) de confianza o un certificado autofirmado.

El Servidor de administración admite autenticación SSL unidireccional y bidireccional para MySQL.

Habilitación de la autenticación SSL unidireccional

Siga estos pasos a fin de configurar la autenticación SSL unidireccional para MySQL:

  1. Genere un certificado TLS autofirmado para el servidor MySQL

    Ejecute el siguiente comando:

    openssl genrsa 1024 > ca-key.pem

    openssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pem

    openssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pem

    openssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

  2. Cree un archivo de indicador del servidor

    Use la utilidad klscflag para crear el indicador del servidor KLSRV_MYSQL_OPT_SSL_CA y especifique la ruta al certificado como su valor: La utilidad klscflag se encuentra en el directorio en el que está instalado el Servidor de administración. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.

    klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <ruta a ca-cert.pem> -t d

  3. Configure las bases de datos

    Especifique los certificados en el archivo my.cnf. Abra el archivo my.cnf en un editor de texto y agregue las siguientes líneas en la sección [mysqld]:

    [mysqld]

    ssl-ca=".../mysqlcerts/ca-cert.pem"

    ssl-cert=".../mysqlcerts/server-cert.pem"

    ssl-key=".../mysqlcerts/server-key.pem"

Habilitación de la autenticación SSL bidireccional

Siga estos pasos a fin de configurar la autenticación SSL bidireccional para MySQL:

  1. Cree archivos de indicador del servidor

    Use la utilidad klscflag para crear indicadores del servidor y especifique la ruta a los archivos de certificados como sus valores:

    klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <ruta a ca-cert.pem> -t s

    klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <ruta a server-cert.pem> -t s

    klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <ruta a server-key.pem> -t s

    La utilidad klscflag se encuentra en el directorio en el que está instalado el Servidor de administración. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.

  2. Especifique la frase de contraseña (opcional)

    Si server-key.pem requiere una frase de contraseña, cree un indicador KLSRV_MARIADB_OPT_TLS_PASPHRASE y especifique la frase de contraseña como su valor:

    klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <frase de contraseña> -t s

  3. Configure las bases de datos

    Especifique los certificados en el archivo my.cnf. Abra el archivo my.cnf en un editor de texto y agregue las siguientes líneas en la sección [mysqld]:

    [mysqld]

    ssl-ca=".../mysqlcerts/ca-cert.pem"

    ssl-cert=".../mysqlcerts/server-cert.pem"

    ssl-key=".../mysqlcerts/server-key.pem"

Principio de la página