시나리오: MySQL 서버 인증
MySQL 서버를 인증하려면 TLS 인증서를 사용할 것을 권장합니다. 신뢰할 수 있는 인증 기관(CA)의 인증서 또는 자체 서명 인증서를 사용할 수 있습니다.
중앙 관리 서버는 MySQL에 대해 단방향 및 양방향 SSL 인증을 모두 지원합니다.
단방향 SSL 인증 활성화
MySQL에 대한 단방향 SSL 인증을 구성하려면 다음 단계를 따릅니다.
- MySQL 서버에 대한 자체 서명 TLS 인증서 생성
다음 명령을 실행합니다:
openssl genrsa 1024 > ca-key.pem
openssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pem
openssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pem
openssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem
- 서버 플래그 파일을 생성합니다
klscflag 유틸리티를 사용하여 KLSRV_MYSQL_OPT_SSL_CA 서버 플래그를 생성하고 인증서의 경로를 값으로 지정합니다. klscflag 유틸리티는 중앙 관리 서버가 설치된 디렉터리에 있습니다. 기본 설치 경로는 /opt/kaspersky/ksc64/sbin입니다.
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <
ca-cert.pem 경로>
-t d
- 데이터베이스를 구성합니다
my.cnf 파일에 인증서를 지정합니다. 텍스트 편집기에서 my.cnf 파일을 열고 [mysqld] 섹션에 다음 줄을 추가합니다.
[mysqld]
ssl-ca=".../mysqlcerts/ca-cert.pem"
ssl-cert=".../mysqlcerts/server-cert.pem"
ssl-key=".../mysqlcerts/server-key.pem"
양방향 SSL 인증 활성화
MySQL에 대한 양방향 SSL 인증을 구성하려면 다음 단계를 따릅니다.
- 서버 플래그 파일을 생성합니다
klscflag 유틸리티를 사용하여 서버 플래그를 생성하고 인증서 파일의 경로를 값으로 지정합니다.
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <
ca-cert.pem 경로> -t d
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <
server-cert.pem 경로> -t d
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <
server-key.pem 경로> -t d
klscflag 유틸리티는 중앙 관리 서버가 설치된 디렉터리에 있습니다. 기본 설치 경로는 /opt/kaspersky/ksc64/sbin입니다.
- (선택사항) 암호 지정
server-key.pem에 암호가 필요한 경우 KLSRV_MARIADB_OPT_TLS_PASPHRASE 플래그를 생성하고 암호를 값으로 지정합니다.
klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <
passphrase
> -t d
- 데이터베이스를 구성합니다
my.cnf 파일에 인증서를 지정합니다. 텍스트 편집기에서 my.cnf 파일을 열고 [mysqld] 섹션에 다음 줄을 추가합니다.
[mysqld]
ssl-ca=".../mysqlcerts/ca-cert.pem"
ssl-cert=".../mysqlcerts/server-cert.pem"
ssl-key=".../mysqlcerts/server-key.pem"