Scénario : Authentification du serveur MySQL
Nous vous recommandons d'utiliser un certificat TLS pour authentifier le serveur MySQL. Vous pouvez utiliser un certificat d'une autorité de certification de confiance ou un certificat auto-signé. Utiliser un certificat provenant d'une autorité de certification de confiance, car un certificat auto-signé n'offre qu'une protection limitée.
Le Serveur d'administration prend en charge l'authentification SSL unidirectionnelle et bidirectionnelle pour MySQL.
Activer l'authentification SSL unidirectionnelle
Suivez ces étapes pour configurer l'authentification SSL unidirectionnelle pour MySQL :
- Génération d'un certificat SSL ou TLS auto-signé pour le serveur SQL conformément aux exigences du certificat
Si vous disposez déjà d'un certificat pour le serveur SQL, ignorez cette étape.
Un certificat SSL s'applique uniquement aux versions de SQL Server antérieures à 2016 (13.x). Dans SQL Server 2016 (13.x) et versions ultérieures, utilisez un certificat TLS.
- Créez un fichier indicateur de serveur
Accédez au répertoire ServerFlags et créez un fichier qui correspond à l'indicateur de serveur KLSRV_MYSQL_OPT_SSL_CA :
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/
touch KLSRV_MYSQL_OPT_SSL_CA
- Modifiez le fichier indicateur du serveur
Dans le fichier KLSRV_MYSQL_OPT_SSL_CA, indiquez le chemin d'accès au certificat (le fichier ca-cert.pem).
- Configurez la base de données
Spécifiez les certificats dans le fichier my.cnf. Ouvrez le fichier my.cnf dans un éditeur de texte et ajoutez les lignes suivantes dans la section [mysqld] :
[mysqld]
ssl-ca="C:\mysqlCerts\ca-cert.pem"
ssl-cert="C:\mysqlCerts\server-cert.pem"
ssl-key="C:\mysqlCerts\server-key.pem"
Activer l'authentification SSL bidirectionnelle
Suivez ces étapes pour configurer l'authentification SSL bidirectionnelle pour MySQL :
- Créez les fichiers indicateurs de serveur
Accédez au répertoire ServerFlags et créez les fichiers qui correspondent aux indicateurs du serveur :
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/
touch KLSRV_MYSQL_OPT_SSL_CA
touch KLSRV_MYSQL_OPT_SSL_CERT
touch KLSRV_MYSQL_OPT_SSL_KEY
- Modifiez les fichiers indicateurs de serveur
Modifiez les fichiers créés comme suit :
KLSRV_MYSQL_OPT_SSL_CA : spécifiez le chemin d'accès au fichier ca-cert.pem.
KLSRV_MYSQL_OPT_SSL_CERT : spécifiez le chemin d'accès au fichier server-cert.pem.
KLSRV_MYSQL_OPT_SSL_KEY : spécifiez le chemin d'accès au fichier clé-serveur.pem.
Si le fichier server-key.pem nécessite une phrase secrète, créez un fichier KLSRV_MARIADB_OPT_TLS_PASPHRASE dans le dossier ServerFlags et spécifiez-y la phrase secrète.
- Configurez la base de données
Spécifiez les certificats dans le fichier my.cnf. Ouvrez le fichier my.cnf dans un éditeur de texte et ajoutez les lignes suivantes dans la section [mysqld] :
[mysqld]
ssl-ca="C:\mysqlCerts\ca-cert.pem"
ssl-cert="C:\mysqlCerts\server-cert.pem"
ssl-key="C:\mysqlCerts\server-key.pem"