MySQL 使用 SSL 鏈接(附 Docker 例子)

時間 2019-12-12

標籤 mysql 使用 ssl 鏈接 docker 例子欄目 MySQL 简体版

原文原文鏈接

查看是否支持 SSL

首先在 MySQL 上執行以下命令, 查詢是否 MySQL 支持 SSL:node

mysql> SHOW VARIABLES LIKE 'have_ssl';
+---------------+-------+
| Variable_name | Value |
+---------------+-------+
| have_ssl      | YES   |
+---------------+-------+
1 row in set (0.02 sec)

當 have_ssl 爲 YES 時, 表示此時 MySQL 服務已經支持 SSL 了. 若是是 DESABLE, 則須要在啓動 MySQL 服務時, 使能 SSL 功能.mysql

使用 OpenSSL 建立 SSL 證書和私鑰

首先咱們須要使用 openssl 來建立服務器端的證書和私鑰. 我使用的 openssl 版本爲:git

>>> /usr/local/Cellar/openssl/1.0.2j/bin/openssl version
OpenSSL 1.0.2j  26 Sep 2016

新建一個 ~/temp/cert 目錄, 用於存放生成的證書和私鑰sql

mkdir ~/temp/cert
cd ~/temp/cert

建立 CA 私鑰和 CA 證書

而後, 咱們先來生成一個 CA 私鑰:docker

openssl genrsa 2048 > ca-key.pem

當有了一個 CA 私鑰, 咱們接下來就可使用這個私鑰生成一個新的數字證書:shell

openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

執行這個命令時, 會須要填寫一些問題, 隨便填寫就能夠了. 例如:服務器

>>> openssl req -sha1 -new -x509 -nodes -days 3650 -key ca-key.pem > ca-cert.pem

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xys
Organizational Unit Name (eg, section) []:xys
Common Name (e.g. server FQDN or YOUR name) []:xys
Email Address []:yongshun1228@gmail.com

執行上述命令後, 咱們就有了一個 CA 私鑰和一個 CA 證書.app

建立服務器端的 RSA 私鑰和數字證書

接着, 咱們須要建立服務器端的私鑰和一個證書請求文件, 命令以下:工具

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

上面這個命令會生成一個新的私鑰(server-key.pem), 同時會使用這個新私鑰來生成一個證書請求文件(server-req.pem).
上面這個命令一樣須要回答幾個問題, 隨便填寫便可. 不過須要注意的是, A challenge password 這一項須要爲空.
即:ui

>>> openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout server-key.pem > server-req.pem

Generating a 2048 bit RSA private key
.................+++
..+++
writing new private key to 'server-key.pem'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:CN
State or Province Name (full name) [Some-State]:Beijing
Locality Name (eg, city) []:Beijing
Organization Name (eg, company) [Internet Widgits Pty Ltd]:xys
Organizational Unit Name (eg, section) []:xys
Common Name (e.g. server FQDN or YOUR name) []:xys
Email Address []:yongshun1228@gmail.com

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

下一步, 咱們須要將生成的私鑰轉換爲 RSA 私鑰文件格式:

openssl rsa -in server-key.pem -out server-key.pem

最後一步, 咱們須要使用原先生成的 CA 證書來生成一個服務器端的數字證書:

openssl x509 -sha1 -req -in server-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > server-cert.pem

上面的命令會建立以服務器端的數字證書文件.

建立客戶端的 RSA 私鑰和數字證書

和服務器端所執行的命令相似, 咱們也須要爲客戶端生成一個私鑰和證書請求文件, 命令以下:

openssl req -sha1 -newkey rsa:2048 -days 3650 -nodes -keyout client-key.pem > client-req.pem

一樣地, 咱們須要將生成的私鑰轉換爲 RSA 私鑰文件格式:

openssl rsa -in client-key.pem -out client-key.pem

最後, 咱們也須要爲客戶端建立一個數字證書:

openssl x509 -sha1 -req -in client-req.pem -days 3650 -CA ca-cert.pem -CAkey ca-key.pem -set_serial 01 > client-cert.pem

使用工具建立證書與私鑰

前面咱們介紹瞭如何使用 OpenSSL 來建立 SSL 鏈接的私鑰和證書文件, 如今咱們來看一個更簡單的方法.
在 MySQL 5.7 中, 提供了一個名爲 mysql_ssl_rsa_setup 的工具, 經過它, 咱們能夠很方便地建立 SSL 鏈接所須要的各類文件:

mkdir ~/temp/cert
cd ~/temp/cert
mysql_ssl_rsa_setup --datadir ./

上面的命令中, --datadir 表示生成的文件的目錄.

當執行了上述命令後, 也會生成八個文件:

ca-key.pem
ca.pem
client-cert.pem
client-key.pem
private_key.pem
public_key.pem
server-cert.pem
server-key.pem

這些文件和咱們使用 OpenSSL 所建立的那八個文件的做用是同樣的, 這裏就再也不詳述了.

SSL 配置

在前面的步驟中, 咱們已經生成了8個文件, 分別是:

ca-cert.pem: CA 證書, 用於生成服務器端/客戶端的數字證書.
ca-key.pem: CA 私鑰, 用於生成服務器端/客戶端的數字證書.
server-key.pem: 服務器端的 RSA 私鑰
server-req.pem: 服務器端的證書請求文件, 用於生成服務器端的數字證書.
server-cert.pem: 服務器端的數字證書.
client-key.pem: 客戶端的 RSA 私鑰
client-req.pem: 客戶端的證書請求文件, 用於生成客戶端的數字證書.
client-cert.pem: 客戶端的數字證書.

接下來咱們就須要分別配置服務器端和客戶端.

服務器端配置

服務器端須要用到三個文件, 分別是: CA 證書, 服務器端的 RSA 私鑰, 服務器端的數字證書, 咱們須要在 [mysqld] 配置域下添加以下內容:

[mysqld]
ssl-ca=/etc/mysql/ca-cert.pem
ssl-cert=/etc/mysql/server-cert.pem
ssl-key=/etc/mysql/server-key.pem

接着咱們還能夠更改 bind-address, 使 MySQL 服務能夠接收來自全部 ip 地址的客戶端, 即:

bind-address = *

當配置好後, 咱們須要重啓 MySQL 服務, 使能配置.

最後一步, 咱們添加一個須要使用 SSL 才能夠登陸的賬號, 來驗證一下咱們所配置的 SSL 是否生效:

GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;
FLUSH PRIVILEGES;

當配置好後, 使用 root 登陸 MySQL, 執行 show variables like '%ssl%' 語句會有以下輸出:

mysql> show variables like '%ssl%';
+---------------+-----------------+
| Variable_name | Value           |
+---------------+-----------------+
| have_openssl  | YES             |
| have_ssl      | YES             |
| ssl_ca        | ca.pem          |
| ssl_capath    |                 |
| ssl_cert      | server-cert.pem |
| ssl_cipher    |                 |
| ssl_crl       |                 |
| ssl_crlpath   |                 |
| ssl_key       | server-key.pem  |
+---------------+-----------------+
9 rows in set (0.01 sec)

客戶端配置

客戶端配置相對簡單一些. 首先咱們須要拷貝 ca-cert.pem, client-cert.pem 和 client-key.pem 這三個文件到客戶端主機中, 而後咱們能夠執行以下命令來使用 SSL 鏈接 MySQL 服務:

mysql --ssl-ca=/path/to/ca-cert.pem --ssl-cert=/path/to/client-cert.pem --ssl-key=/path/to/client-key.pem -h host_name -u ssl_test -p

除了上述的使用命令行方式配置 SSL 外, 咱們也可使用配置文件的方式. 即在 ~/.my.cnf 文件中添加以下內容便可:

[client]
ssl-ca=/path/to/ca-cert.pem
ssl-cert=/path/to/client-cert.pem
ssl-key=/path/to/client-key.pem

當鏈接成功後, 咱們執行以下指令

mysql> \s
--------------
mysql  Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using  EditLine wrapper

Connection id:      14
Current database:
Current user:       ssl_test@172.17.0.4
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server version:     5.7.17 MySQL Community Server (GPL)
Protocol version:   10
Connection:     test_db via TCP/IP
Server characterset:    latin1
Db     characterset:    latin1
Client characterset:    latin1
Conn.  characterset:    latin1
TCP port:       3306
Uptime:         1 hour 2 min 9 sec

Threads: 1  Questions: 23  Slow queries: 0  Opens: 126  Flush tables: 3  Open tables: 0  Queries per second avg: 0.006
--------------

若是輸出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 之類的信息, 則表示已經使用 SSL 來鏈接了.

在 Docker 中使能 MySQL SSL 鏈接

上面咱們簡單介紹了一下若是使能 MySQL SSL 鏈接, 那麼如今咱們使用 Docker 來具體的實戰一把吧!

首先拉取最新的 MySQL 鏡像:

docker pull mysql

而後須要準備一下掛載到 Docker 容器的目錄結構:

>>> cd ~/temp
>>> tree
.
├── cert
│   ├── ca-key.pem
│   ├── ca.pem
│   ├── client-cert.pem
│   ├── client-key.pem
│   ├── private_key.pem
│   ├── public_key.pem
│   ├── server-cert.pem
│   └── server-key.pem
├── config
│   └── my.cnf
└── db

3 directories, 9 files

cert 目錄用於存放咱們先前生成的證書和私鑰信息;
config 目錄用於存放 MySQL 服務的配置文件
db 目錄是用於存放 MySQL 的數據.

下一步咱們須要使用以下命令啓動 MySQL 容器:

docker run --rm --name test_db -p 10000:3306 -e MYSQL_ROOT_PASSWORD=root -v /Users/xiongyongshun/temp/db:/var/lib/mysql -v /Users/xiongyongshun/temp/config:/etc/mysql/conf.d -v /Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql:latest

咱們在上面的命令中, 咱們分別掛載了 cert, config, db 這三個宿主機上的目錄到 MySQL 容器中.

啓動了 MySQL 服務後, 能夠先使用 root 賬號登陸 MySQL, 來檢查 MySQL 服務此時是否已經開啓了 SSL 功能:

docker run -it --link test_db:test_db --rm  mysql sh -c 'exec mysql -u root -p -h test_db'

登陸成功後, 咱們在 MySQL 中執行以下指令:

mysql> show variables like '%ssl%';
+---------------+---------------------------------+
| Variable_name | Value                           |
+---------------+---------------------------------+
| have_openssl  | YES                             |
| have_ssl      | YES                             |
| ssl_ca        | /etc/mysql/cert/ca-cert.pem     |
| ssl_capath    |                                 |
| ssl_cert      | /etc/mysql/cert/server-cert.pem |
| ssl_cipher    |                                 |
| ssl_crl       |                                 |
| ssl_crlpath   |                                 |
| ssl_key       | /etc/mysql/cert/server-key.pem  |
+---------------+---------------------------------+
9 rows in set (0.01 sec)

有上面的輸出後, 代表此時 MySQL 服務已經使用 SSL 功能了.

接着下一步, 咱們按照前面所提到的, 建立一個僅僅可使用 SSL 登陸的賬號, 來檢驗咱們的配置是否有效:

GRANT ALL PRIVILEGES ON *.* TO 'ssl_test'@'%' IDENTIFIED BY 'ssl_test' REQUIRE SSL;
FLUSH PRIVILEGES;

上面的命令建立了一個賬號名爲 ssl_test, 密碼爲 ssl_test, 而且不限制登陸主機 ip 的賬號.

這些都配置成功後, 咱們再啓動一個 MySQL 客戶端容器:

docker run -it --link test_db:test_db --rm -v /Users/xiongyongshun/temp/cert:/etc/mysql/cert mysql sh -c 'exec mysql --ssl-ca=/etc/mysql/cert/ca-cert.pem --ssl-cert=/etc/mysql/cert/client-cert.pem --ssl-key=/etc/mysql/cert/client-key.pem -h test_db -u ssl_test -p'

從上面的這個命令中咱們能夠看到, 啓動 MySQL 客戶端容器時, 咱們掛載了宿主機的 cert 目錄到容器內的 /etc/mysql/cert 目錄, 這樣在容器中就能夠訪問到 SSL 私鑰和證書文件了. 接着咱們在 MySQL 客戶端命令行中, 使用 --ssl-ca, --ssl-cert, --ssl-key 這三個參數來指定 SSL 鏈接所須要的 CA 證書, RSA 私鑰和客戶端證書.

登陸成功後, 咱們執行 \s 命令:

mysql> \s
--------------
mysql  Ver 14.14 Distrib 5.7.17, for Linux (x86_64) using  EditLine wrapper

Connection id:      5
Current database:
Current user:       ssl_test@172.17.0.5
SSL:            Cipher in use is DHE-RSA-AES256-SHA
Current pager:      stdout
Using outfile:      ''
Using delimiter:    ;
Server version:     5.7.17 MySQL Community Server (GPL)
Protocol version:   10
Connection:     test_db via TCP/IP
Server characterset:    latin1
Db     characterset:    latin1
Client characterset:    latin1
Conn.  characterset:    latin1
TCP port:       3306
Uptime:         6 min 8 sec

Threads: 2  Questions: 10  Slow queries: 0  Opens: 113  Flush tables: 1  Open tables: 106  Queries per second avg: 0.027
--------------

輸出中有 SSL: Cipher in use is DHE-RSA-AES256-SHA 信息則說明咱們確實是使用了 SSL 鏈接的 MySQL 服務器.