Scénario : Authentification du serveur MySQL

Nous vous recommandons d'utiliser un certificat TLS pour authentifier le serveur MySQL. Vous pouvez utiliser un certificat d'une autorité de certification de confiance ou un certificat auto-signé.

Le Serveur d'administration prend en charge l'authentification SSL unidirectionnelle et bidirectionnelle pour MySQL.

Activer l'authentification SSL unidirectionnelle

Suivez ces étapes pour configurer l'authentification SSL unidirectionnelle pour MySQL :

  1. Générez un certificat TLS auto-signé pour le serveur MySQL

    Exécutez la commande suivante :

    openssl genrsa 1024 > ca-key.pem

    openssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pem

    openssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pem

    openssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

  2. Créez un fichier indicateur de serveur

    Utilisez l'utilitaire klsclag pour créer l'indicateur de serveur KLSRV_MYSQL_OPT_SSL_CA et indiquez le chemin d'accès au certificat comme valeur. L'utilitaire klsclag se trouve dans le répertoire dans lequel le Serveur d'administration est installé. Le chemin d'installation par défaut est /opt/kaspersky/ksc64/sbin.

    klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <chemin vers ca-cert.pem> -t d

  3. Configurez la base de données

    Spécifiez les certificats dans le fichier my.cnf. Ouvrez le fichier my.cnf dans un éditeur de texte et ajoutez les lignes suivantes dans la section [mysqld] :

    [mysqld]

    ssl-ca=".../mysqlcerts/ca-cert.pem"

    ssl-cert=".../mysqlcerts/server-cert.pem"

    ssl-key=".../mysqlcerts/server-key.pem"

Activer l'authentification SSL bidirectionnelle

Suivez ces étapes pour configurer l'authentification SSL bidirectionnelle pour MySQL :

  1. Créez les fichiers indicateurs de serveur

    Utilisez l'utilitaire klscflag pour créer les indicateurs de serveur et indiquez le chemin d'accès aux fichiers de certificat comme valeur :

    klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <chemin vers ca-cert.pem> -t s

    klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <chemin vers server-cert.pem> -t s

    klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <chemin vers server-key.pem> -t s

    L'utilitaire klsclag se trouve dans le répertoire dans lequel le Serveur d'administration est installé. Le chemin d'installation par défaut est /opt/kaspersky/ksc64/sbin.

  2. Indiquez la phrase secrète (facultatif)

    Si server-key.pem requiert une phrase secrète, créez un indicateur KLSRV_MARIADB_OPT_TLS_PASPHRASE et indiquez la phrase secrète comme valeur :

    klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <phrase secrète> -t s

  3. Configurez la base de données

    Spécifiez les certificats dans le fichier my.cnf. Ouvrez le fichier my.cnf dans un éditeur de texte et ajoutez les lignes suivantes dans la section [mysqld] :

    [mysqld]

    ssl-ca=".../mysqlcerts/ca-cert.pem"

    ssl-cert=".../mysqlcerts/server-cert.pem"

    ssl-key=".../mysqlcerts/server-key.pem"

Haut de page