Escenario: autenticación del servidor MySQL
Le recomendamos que utilice un certificado TLS para autenticar el servidor MySQL. Puede usar un certificado de una autoridad de certificación (AC) de confianza o un certificado autofirmado.
El Servidor de administración es compatible con la autenticación SSL unidireccional y bidireccional de MySQL.
Activación de la autenticación SSL unidireccional
Siga estos pasos para configurar la autenticación SSL unidireccional de MySQL:
- Genere un certificado TLS autofirmado para el servidor MySQL
Ejecute el siguiente comando:
openssl genrsa 1024 > ca-key.pem
openssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pem
openssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pem
openssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
- Cree un archivo de indicador del servidor
Con la utilidad klscflag, cree el indicador del servidor KLSRV_MYSQL_OPT_SSL_CA y especifique la ruta al certificado como su valor. La utilidad klscflag se encuentra en el directorio donde está instalado el Servidor de administración. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <
ruta a
ca-cert.pem>-t d
- Configure la base de datos
Especifique los certificados en el archivo my.cnf. Abra el archivo my.cnf en un editor de texto y añada las siguientes líneas en la sección [mysqld]:
[mysqld]
ssl-ca=".../mysqlcerts/ca-cert.pem"
ssl-cert=".../mysqlcerts/server-cert.pem"
ssl-key=".../mysqlcerts/server-key.pem"
Activación de la autenticación SSL bidireccional
Siga estos pasos para configurar la autenticación SSL bidireccional de MySQL:
- Cree archivos de indicador del servidor
Con la utilidad klscflag, cree los indicadores del servidor y especifique la ruta a los archivos de certificado como sus valores:
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <
ruta a
ca-cert.pem> -t d
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <
ruta a
server-cert.pem> -t d
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <
ruta a
server-key.pem> -t d
La utilidad klscflag se encuentra en el directorio donde está instalado el Servidor de administración. La ruta de instalación predeterminada es /opt/kaspersky/ksc64/sbin.
- Especifique la frase de contraseña (opcional)
Si server-key.pem requiere una frase de contraseña, cree un indicador KLSRV_MARIADB_OPT_TLS_PASPHRASE y especifique la contraseña como su valor:
klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <
frase de contraseña
> -t d
- Configure la base de datos
Especifique los certificados en el archivo my.cnf. Abra el archivo my.cnf en un editor de texto y añada las siguientes líneas en la sección [mysqld]:
[mysqld]
ssl-ca=".../mysqlcerts/ca-cert.pem"
ssl-cert=".../mysqlcerts/server-cert.pem"
ssl-key=".../mysqlcerts/server-key.pem"