情境:驗證 MySQL 伺服器
我們建議您使用 TLS 憑證對 MySQL 伺服器進行身分驗證。您可使用來自信任的憑證授權單位 (CA) 或自簽發憑證。請使用來自信任 CA 的憑證,因為自簽發憑證僅提供有限防護。
管理伺服器支援 MySQL 的單向和雙向 SSL 身分驗證。
啟用單向 SSL 身分驗證
請按照以下步驟為 MySQL 配置單向 SSL 身分驗證:
- 導航到 ServerFlags 目錄並建立與 KLSRV_MYSQL_OPT_SSL_CA 伺服器標誌對應的檔案:
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/
mkfile KLSRV_MYSQL_OPT_SSL_CA
- 在 KLSRV_MYSQL_OPT_SSL_CA 檔案中,指定憑證的路徑(ca-cert.pem 檔案)。
- 在 my.cnf 檔案中指定憑證。在文字編輯器中開啟 my.cnf 檔案並將以下行新增至 [mysqld] 部分中:
[mysqld]
ssl-ca="C:/mysqlCerts/ca-cert.pem"
ssl-cert="C:/mysqlCerts/server-cert.pem"
ssl-key="C:/mysqlCerts/server-key.pem"
啟用雙向 SSL 身分驗證
請按照以下步驟為 MySQL 配置雙向 SSL 身分驗證:
- 導航到 ServerFlags 目錄並建立與伺服器標誌對應的檔案:
cd /etc/opt/kaspersky/klnagent_srv/1093/1.0.0.0/ServerFlags/
mkfile KLSRV_MYSQL_OPT_SSL_CA
mkfile KLSRV_MYSQL_OPT_SSL_CERT
mkfile KLSRV_MYSQL_OPT_SSL_KEY
- 編輯建立的檔案如下:
KLSRV_MYSQL_OPT_SSL_CA:指定 ca-cert.pem 檔案的路徑。
KLSRV_MYSQL_OPT_SSL_CERT:指定 server-cert.pem 檔案的路徑。
KLSRV_MYSQL_OPT_SSL_KEY:指定 server-key.pem 檔案的路徑。
如果 server-key.pem 需要密碼,請在 ServerFlags 資料夾中建立 KLSRV_MARIADB_OPT_TLS_PASPHRASE 檔案並在其中指定密碼。
- 在 my.cnf 檔案中指定憑證。在文字編輯器中開啟 my.cnf 檔案並將以下行新增至 [mysqld] 部分中:
[mysqld]
ssl-ca="C:/mysqlCerts/ca-cert.pem"
ssl-cert="C:/mysqlCerts/server-cert.pem"
ssl-key="C:/mysqlCerts/server-key.pem"