Szenario: Authentifizierung am MySQL-Server

Es wird empfohlen, für die Authentifizierung am MySQL-Servers ein TLS-Zertifikat zu verwenden. Sie können ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle (certificate authority - CA) oder ein selbstsigniertes Zertifikat verwenden.

Der Administrationsserver unterstützt für MySQL sowohl die unidirektionale als auch die bidirektionale SSL-Authentifizierung.

Aktivieren der unidirektionalen SSL-Authentifizierung

Gehen Sie folgendermaßen vor, um die unidirektionale SSL-Authentifizierung für MySQL zu konfigurieren:

1. Generieren Sie ein selbstsigniertes TLS-Zertifikat für den MySQL-Server

   Führen Sie den folgenden Befehl aus:

   openssl genrsa 1024 > ca-key.pem

   openssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pem

   openssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pem

   openssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

2. Erstellen Sie eine Server-Flag-Datei

   Verwenden Sie das Tool "klscflag", um das Server-Flag KLSRV_MYSQL_OPT_SSL_CA zu erstellen, und geben Sie den Pfad des Zertifikats als dessen Wert an. Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "/opt/kaspersky/ksc64/sbin".

   klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <Pfad zur Datei ca-cert.pem> -t d

3. Konfigurieren Sie die Datenbank

   Geben Sie die Zertifikate in der Datei "my.cnf" an. Öffnen Sie die Datei "my.cnf" in einem Texteditor und fügen Sie im Abschnitt "[mysqld]" die folgenden Zeilen hinzu:

   [mysqld]

   ssl-ca=".../mysqlcerts/ca-cert.pem"

   ssl-cert=".../mysqlcerts/server-cert.pem"

   ssl-key=".../mysqlcerts/server-key.pem"

Aktivieren der bidirektionalen SSL-Authentifizierung

Gehen Sie folgendermaßen vor, um die bidirektionale SSL-Authentifizierung für MySQL zu konfigurieren:

1. Erstellen Sie Server-Flag-Dateien

   Verwenden Sie das Tool "klscflag", um die Server-Flags zu erstellen, und geben Sie die Pfade der Zertifikate als deren Wert an.

   klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <Pfad zur Dateica-cert.pem> -t d

   klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <Pfad zur Datei server-cert.pem> -t d

   klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <Pfad zur Datei server-key.pem> -t d

   Das Tool "klscflag" befindet sich in dem Verzeichnis, in dem der Administrationsserver installiert ist. Der Standardinstallationspfad lautet "/opt/kaspersky/ksc64/sbin".

2. Geben Sie die Passphrase an (optional)

   Wenn server-key.pem eine Passphrase erfordert, erstellen Sie das Flag KLSRV_MARIADB_OPT_TLS_PASPHRASE und geben Sie die Passphrase als dessen Wert an:

   klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <Passphrase> -t d

3. Konfigurieren Sie die Datenbank

   Geben Sie die Zertifikate in der Datei "my.cnf" an. Öffnen Sie die Datei "my.cnf" in einem Texteditor und fügen Sie im Abschnitt "[mysqld]" die folgenden Zeilen hinzu:

   [mysqld]

   ssl-ca=".../mysqlcerts/ca-cert.pem"

   ssl-cert=".../mysqlcerts/server-cert.pem"

   ssl-key=".../mysqlcerts/server-key.pem"