如何为MySQL设置SSL证书

MySQL默认的数据通道是不加密的，在一些安全性要求特别高的场景下，我们需要配置MySQL端口为SSL，使得数据通道加密处理，避免敏感信息泄漏和被篡改。

当然，启用MySQL SSL之后，由于每个数据包都需要加密和解密，这个对MySQL的性能是有不小影响的，读者们在使用的时候，要根据实际情况斟酌。

MySQL客户端登录服务器时候的密码不是明文传输，有加密策略处理。

笔者是在 ubuntu1204 系统上使用MySQL 55版本测试的，其他环境请读者自行匹配。

配置MySQL服务器证书

编辑 /etc/mysql/mycnf 文件

# ssl-ca=/etc/mysql/cacertpem

# ssl-cert=/etc/mysql/server-certpem

# ssl-key=/etc/mysql/server-keypem

把上面三行默认证书配置注释打开，使用自己的证书。笔者就使用上次在搭建自己的CA服务 – OpenSSL CA 实战文章中生成的证书

ssl-ca=/home/yunweipai/user_certs/ca_certcer

ssl-cert=/home/yunweipai/user_certs/webcer

ssl-key=/home/yunweipai/user_certs/web_key_plainpem

这里需要注意的是，在ubuntu上，配置证书后如果不生效，参考这里解决方法

注意上面配置的 web_key_plainpem 文件，由于MySQL不支持加密后的私钥，因此我们使用命令

openssl rsa -in web_keypem -passin pass:Yunweipai@123 -out web_key_plainpem

将私钥解密。MySQL不支持私钥加密的原因是从安全性角度考虑，因为如果要用户传递一个加密的私钥，那么必须要用户传密码，那么MySQL怎么存储这个密码呢？这就引出了我们在密码存储和传输的安全建议里面提到的一系列问题了。

所以MySQL为了简化实现，就不支持私钥加密。

指定客户端连接方式

MySQL服务端在对客户端授权的时候，可以通过选项指定客户端连接MySQL 服务器的SSL级别，参考MySQL赋权的 REQUIRE值：

ssl_option

SSL: 不认证客户端，客户端不需要提供证书

X509: 客户端必须发送一个有效的X509证书

issuer: 客户端的证书是否是服务器所配置的CA颁发的（在我们场景下是ca_certcer颁发的证书）

subject: 认证证书的subject（关于证书的subject在之前的文章有介绍）

cipher: 指定加密算法

这些选项可以叠加使用，如：X509|issuser

客户端连接（SSL方式）

mysql 客户端连接

mysql -u root -pChangeme_123 -P 3306 --ssl-ca=/home/yunweipai/user_certs/ca_certcer

Welcome to the MySQL monitor Commands end with ; or \g

Your MySQL connection id is 36

Server version: 5543-0ubuntu012041 (Ubuntu)

Copyright (c) 2000, 2015, Oracle and/or its affiliates All rights reserved

Oracle is a registered trademark of Oracle Corporation and/or its

affiliates Other names may be trademarks of their respective

owners

Type 'help;' or '\h' for help Type '\c' to clear the current input statement

mysql> \s

--------------

mysql Ver 1414 Distrib 5543, for debian-linux-gnu (i686) using readline 62

Connection id: 36

Current database:

Current user: root@localhost

SSL: Cipher in use is DHE-RSA-AES256-SHA

Current pager: stdout

Using outfile: ''

Using delimiter: ;

Server version: 5543-0ubuntu012041 (Ubuntu)

Protocol version: 10

Connection: Localhost via UNIX socket

Server characterset: latin1

Db characterset: latin1

Client characterset: latin1

Conn characterset: latin1

UNIX socket: /var/run/mysqld/mysqldsock

Uptime: 29 sec

Threads: 1 Questions: 109 Slow queries: 0 Opens: 48 Flush tables: 1 Open tables: 41 Queries per second avg: 3758

--------------

JDBC连接

在jdbc字符串中增加下面参数

useSSL=true&verifyServerCertificate=false

这么就不需要客户端配置证书了，配置就简单很多。因为mysql本身有账号口令认证，因此不需要证书认证。

1 进入cmd，停止mysql服务：Net stop mysql

若是停不掉：Ctrl+Alt+Del打开任务管理器，在详细信息里结束mysqlexe任务。

若服务名无效：来到MySQL的安装路径下bin，在命令行中输入mysqld --install；成功：出现Service successfully install代表你已经安装成功；

2 进入bin目录

mysqld -nt --skip-grant-tables

重新打开一个管理员命令提示符输入mysql进入重新改密码就OK了。

再次mysql -u root -p进入 *** 作

mysql>update mysqluser set anthentication_string=password(‘你的密码’) where user=‘root’;

mysql>flush privileges;//刷新MySQL的系统权限

mysql>quit;

再次mysql -u root -p进入就可以 *** 作了。

1、打开mysql的客户端 这里使用navicat，连接数据库，等到navicat主页面，双击需要 *** 作的数据库连接。

2、登录到数据库主页面后，点击左侧的数据库连接，打开数据库，可以看到可以 *** 作的所有数据库。

3、这时有有两个数据库，目标是将数据1的所有数据同步到数据库2上，需要点击主页面上的。

4、打开工具菜单，选择数据库同步菜单，d出数据同步的对话框，可以选择数据源，目标数据库。

5、选择数据库源和需要 *** 作的数据库后，然后在选择目标数据库连接，目标数据库，然后在选择需要 *** 作的表，点击开始即可。

mysql连接相关

//用root登录mysql

mysql -h localhost -u root

//为用户shhlcm赋权

grant all privileges on to 'shhlcm'@'%' identified by '密码';

flush privileges;

文件（外文名：Document）是现代词，是一个专有名词，指的是形成的正式文书，分为公文、文书、函件和其他文件。文件的范畴很广泛，电脑上运行的程序、杀毒等等都叫文件。狭义的“文件”就是档案的意思，广义的“文件”指公文书信或指有关政策、理论等方面的文章。

文件是一个具有符号的一组相关联元素的有序序列。文件可以包含范围非常广泛的内容。系统和用户都可以将具有一定独立功能的程序模块、一组数据或一组文字命名为一个文件。

以上就是关于如何为MySQL设置SSL证书全部的内容，包括:如何为MySQL设置SSL证书、mysql突然登录不了、如何清理mysql数据库缓存数据等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！