情境:驗證 MySQL 伺服器
我們建議您使用 TLS 憑證對 MySQL 伺服器進行身分驗證。您可使用來自信任的憑證授權單位 (CA) 或自簽發憑證。
管理伺服器支援 MySQL 的單向和雙向 SSL 身分驗證。
啟用單向 SSL 身分驗證
請按照以下步驟為 MySQL 配置單向 SSL 身分驗證:
- 為 MySQL 伺服器產生自簽章 TLS 憑證
執行以下指令:
openssl genrsa 1024 > ca-key.pemopenssl req -new -x509 -nodes -days 365 -key ca-key.pem -config myssl.cnf > ca-cert.pemopenssl req -newkey rsa:1024 -days 365 -nodes -keyout server-key.pem -config myssl.cnf > server-req.pemopenssl x09 -req -in server-req.pem -days 365 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem - 建立伺服器旗標檔案
使用 klscflag 公用程式建立 KLSRV_MYSQL_OPT_SSL_CA 伺服器標誌,並將憑證路徑指定為其值。klscflag 公用程式位於安裝管理伺服器的目錄中。預設安裝路徑為/opt/kaspersky/ksc64/sbin。
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <ca-cert.pem的路徑>-t d - 設定資料庫
在 my.cnf 檔案中指定憑證。在文字編輯器中開啟 my.cnf 檔案並將以下行新增至 [mysqld] 部分中:
[mysqld]ssl-ca=".../mysqlcerts/ca-cert.pem"ssl-cert=".../mysqlcerts/server-cert.pem"ssl-key=".../mysqlcerts/server-key.pem"
啟用雙向 SSL 身分驗證
請按照以下步驟為 MySQL 配置雙向 SSL 身分驗證:
- 建立伺服器旗標檔案
使用 klscflag 公用程式建立伺服器標誌並將憑證檔案路徑指定為其值:
klscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CA -v <ca-cert.pem的路徑> -t dklscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_CERT -v <server-cert.pem的路徑> -t dklscflag -fset -pv klserver -n KLSRV_MYSQL_OPT_SSL_KEY -v <server-key.pem的路徑> -t dklscflag 公用程式位於安裝管理伺服器的目錄中。預設安裝路徑為/opt/kaspersky/ksc64/sbin。
- 指定密碼(可選)
如果 server-key.pem 需要複雜密碼,請建立 KLSRV_MARIADB_OPT_TLS_PASPHRASE 標誌並將複雜密碼指定為其值:
klscflag -fset -pv klserver -n KLSRV_MARIADB_OPT_TLS_PASPHRASE -v <複雜密碼> -t d - 設定資料庫
在 my.cnf 檔案中指定憑證。在文字編輯器中開啟 my.cnf 檔案並將以下行新增至 [mysqld] 部分中:
[mysqld]ssl-ca=".../mysqlcerts/ca-cert.pem"ssl-cert=".../mysqlcerts/server-cert.pem"ssl-key=".../mysqlcerts/server-key.pem"