我们建议您使用 TLS 证书对 MySQL 服务器进行身份验证。您可以使用来自可信证书颁发机构 (CA) 的证书或自签名证书。
管理服务器支持 MySQL 的单向和双向 SSL 身份验证。
启用单向 SSL 身份验证
请按照以下步骤为 MySQL 配置单向 SSL 身份验证:
运行以下命令:
openssl genrsa 1024 > ca-key.pem
openssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pem
openssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pem
openssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
使用 klscflag 实用程序来创建 KLSRV_MYSQL_OPT_SSL_CA 服务器标志并指定证书的路径作为其值。klscflag 实用程序位于安装管理服务器的目录中。默认安装路径为/opt/kaspersky/ksc64/sbin。
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <ca-cert.pem 路径> -t d
在 my.cnf 文件中指定证书。在文本编辑器中打开 my.cnf 文件并将以下行添加到 [mysqld] 部分中:
[mysqld]
ssl-ca=".../mysqlcerts/ca-cert.pem"
ssl-cert=".../mysqlcerts/server-cert.pem"
ssl-key=".../mysqlcerts/server-key.pem"
启用双向 SSL 身份验证
请按照以下步骤为 MySQL 配置双向 SSL 身份验证:
使用 klscflag 实用程序来创建服务器标记并指定证书文件的路径作为其值:
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <path to ca-cert.pem> -t s
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <path to server-cert.pem> -t s
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <path to server-key.pem> -t s
klscflag 实用程序位于安装管理服务器的目录中。默认安装路径为/opt/kaspersky/ksc64/sbin。
如果 server-key.pem 需要密码,请创建 KLSRV_MARIADB_OPT_TLS_PASPHRASE 标记并指定密码作为其值:
klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <passphrase> -t s
在 my.cnf 文件中指定证书。在文本编辑器中打开 my.cnf 文件并将以下行添加到 [mysqld] 部分中:
[mysqld]
ssl-ca=".../mysqlcerts/ca-cert.pem"
ssl-cert=".../mysqlcerts/server-cert.pem"
ssl-key=".../mysqlcerts/server-key.pem"